Se descubrió que el complemento de pasarela de pago WooCommerce Stripe tiene una vulnerabilidad que permite a un atacante robar información de identificación personal (PII) del cliente de las tiendas que utilizan el complemento.
Los investigadores de seguridad advierten que los piratas informáticos no necesitan autenticación para realizar el exploit, que recibió una calificación alta de 7.5 en una escala de 1 a 10.
Complemento de pasarela de pago de WooCommerce Stripe
El complemento de pasarela de pago Stripe, desarrollado por WooCommerce, Automattic, WooThemes y otros colaboradores, está instalado en más de 900 000 sitios web.
Ofrece una manera fácil para que los clientes de las tiendas WooCommerce paguen, con varias tarjetas de crédito diferentes y sin tener que abrir una cuenta.
Una cuenta de Stripe se crea automáticamente al finalizar la compra, brindando a los clientes una experiencia de compra de comercio electrónico sin fricciones.
El complemento funciona a través de una interfaz de programación de aplicaciones (API).
Una API es como un puente entre dos software que permite que la tienda WooCommerce interactúe con el software Stripe para procesar pedidos desde el sitio web a Stripe sin problemas.
¿Cuál es la vulnerabilidad en el complemento WooCommerce Stripe?
Los investigadores de seguridad de Patchstack descubrieron la vulnerabilidad y la divulgaron responsablemente a las partes relevantes.
Según los investigadores de seguridad de Patchstack:
“Este complemento sufre de una vulnerabilidad de referencia de objeto directo inseguro no autenticado (IDOR).
Esta vulnerabilidad permite que cualquier usuario no autenticado vea los datos PII de cualquier pedido de WooCommerce, incluido el correo electrónico, el nombre del usuario y la dirección completa”.
Versiones del complemento WooCommerce Stripe afectadas
La vulnerabilidad afecta a versiones anteriores e iguales a la versión 7.4.0.
Los desarrolladores asociados con el complemento lo actualizaron a la versión 7.4.1, que es la versión más segura.
Estas fueron las actualizaciones de seguridad realizadas, según el registro de cambios oficial del complemento:
- “Arreglar – Agregar validación de clave de pedido.
- Solución: agregue desinfección y escape de algunas salidas “.
Hay un par de problemas que necesitaban una solución.
El primero parece ser una falta de validación, que en general es un control para validar si una solicitud es de una entidad autorizada.
El siguiente es el saneamiento, que se refiere a un proceso de bloqueo de cualquier entrada que no sea válida. Por ejemplo, si una entrada solo permite texto, debe configurarse de manera que prohíba la carga de scripts.
Lo que menciona el registro de cambios es escapar de las salidas, que es una forma de bloquear entradas no deseadas y maliciosas.
La organización de seguridad sin fines de lucro Open Worldwide Application Security Project (OWASP) lo explica así:
“La codificación y el escape son técnicas defensivas destinadas a detener los ataques de inyección”.
El manual oficial de la API de WordPress lo explica de esta manera:
“Escapar de la salida es el proceso de proteger los datos de salida eliminando los datos no deseados, como etiquetas de secuencias de comandos o HTML con formato incorrecto.
Este proceso ayuda a proteger sus datos antes de entregarlos al usuario final”.
Se recomienda encarecidamente que los usuarios del complemento actualicen inmediatamente sus complementos a la versión 7.4.1
Lea el aviso de seguridad en Patchstack:
IDOR no autenticado para divulgación de PII en WooCommerce Stripe Gateway Plugin
Imagen destacada de Shutterstock/FedorAnisimov