Se descubrió que el complemento de pasarela de pago WooCommerce Stripe tiene una vulnerabilidad que podría permitir que un atacante robe información de identificación personal del cliente (PII) de las tiendas que utilizan el complemento.
Los investigadores de seguridad advierten que los piratas informáticos no necesitan autenticación para realizar el exploit, que recibió una puntuación alta de 7,5 en una escala del 1 al 10.
Contenido del Articulo
Complemento de pasarela de pago WooCommerce Stripe
El complemento de pasarela de pago Stripe, desarrollado por WooCommerce, Automattic, WooThemes y otros socios, está instalado en más de 900 000 sitios web.
Ofrece una manera fácil para que los clientes de las tiendas WooCommerce paguen, con varias tarjetas de crédito diferentes y sin tener que abrir una cuenta.
Una cuenta de Stripe se crea automáticamente al finalizar la compra, brindando a los clientes una experiencia de compra de comercio electrónico sin fricciones.
El complemento funciona a través de una interfaz de programación de aplicaciones (API).
Una API es como un puente entre dos software que permite que la tienda WooCommerce interactúe con el software Stripe para procesar pedidos desde el sitio web a Stripe sin problemas.
¿Cuál es la vulnerabilidad en el complemento WooCommerce Stripe?
Los investigadores de seguridad de Patchstack descubrieron la vulnerabilidad y la divulgaron responsablemente a las partes correspondientes.
Según los investigadores de seguridad de Patchstack:
“Este complemento sufre una vulnerabilidad de referencia de objeto directo no verificado (IDOR).
Esta vulnerabilidad permite que cualquier usuario no autenticado vea los datos PII de cualquier pedido de WooCommerce, incluido el correo electrónico, el nombre de usuario y la dirección completa”.
Las versiones del complemento WooCommerce Stripe se ven afectadas
La vulnerabilidad afecta a versiones anteriores e iguales a la versión 7.4.0.
Los desarrolladores asociados con el complemento lo han actualizado a la versión 7.4.1, que es la versión más segura.
Estas fueron las actualizaciones de seguridad realizadas, según el registro de cambios oficial del complemento:
- “Arreglar – Agregar validación de clave de orden.
- Solución: agregue desinfección y escape de algunos resultados “.
Hay algunos problemas que necesitaban solucionarse.
El primero parece ser la falta de validación, que generalmente es una verificación para validar si una solicitud es de una entidad autorizada.
El siguiente es el saneamiento, que se refiere a un proceso de bloqueo de cualquier entrada que no sea válida. Por ejemplo, si una entrada solo permite texto, debe configurarse para no permitir la carga de scripts.
Lo que menciona el registro de cambios es el escape de salida, que es una forma de bloquear entradas no deseadas y maliciosas.
La organización de seguridad sin fines de lucro Open Worldwide Application Security Project (OWASP) lo explica de esta manera:
“La codificación y el escape son técnicas defensivas destinadas a detener los ataques de inyección”.
El manual oficial de la API de WordPress lo explica así:
“El escape de salida es el proceso de proteger los datos de salida mediante la eliminación de datos no deseados, como HTML no válido o etiquetas de secuencias de comandos.
Este proceso ayuda a proteger sus datos antes de que se entreguen al usuario final”.
Se recomienda encarecidamente a los usuarios del complemento que actualicen sus complementos a la versión 7.4.1 inmediatamente
Lea el aviso de seguridad en Patchstack:
Divulgación de IDOR no verificado a PII en el complemento WooCommerce Stripe Gateway
Imagen destacada de Shutterstock/FedorAnisimov
