Er werd ontdekt dat de WooCommerce Stripe-betalingsgateway-plug-in een kwetsbaarheid had waardoor een aanvaller via de plug-in persoonlijk identificeerbare informatie (PII) van de klant van een winkel kon stelen.
Beveiligingsonderzoekers waarschuwen dat hackers geen authenticatie nodig hebben om de exploit uit te voeren, die een hoge beoordeling van 7,5 kreeg op een schaal van 1 tot 10.
WooCommerce Stripe Payment Gateway-plug-in
De Stripe-betalingsgateway-plug-in, ontwikkeld door WooCommerce, Automattic, WooThemes en andere partners, is geïnstalleerd op meer dan 900.000 websites.
Het biedt klanten van WooCommerce-winkels een gemakkelijke manier om te betalen, met verschillende creditcards en zonder een account te hoeven openen.
Bij aankoop wordt automatisch een Stripe-account aangemaakt, waardoor klanten een probleemloze e-commerce winkelervaring krijgen.
De plug-in werkt via een Application Programming Interface (API).
Een API is als een brug tussen twee stukjes software waarmee de WooCommerce-winkel kan communiceren met de Stripe-software om bestellingen van de website naar Stripe naadloos te verwerken.
Wat is de kwetsbaarheid van de WooCommerce Stripe-plug-in?
Patchstack-beveiligingsonderzoekers ontdekten de kwetsbaarheid en maakten deze op verantwoorde wijze bekend aan de relevante partijen.
Volgens beveiligingsonderzoekers van Patchstack:
“Deze plug-in lijdt aan een niet-geverifieerde, onveilige Direct Object Reference (IDOR)-kwetsbaarheid.
Door deze kwetsbaarheid kan elke niet-geverifieerde gebruiker PII-gegevens bekijken van elke WooCommerce-bestelling, inclusief e-mail, gebruikersnaam en volledig adres.”
Versies van de WooCommerce Stripe-plug-in getroffen
De kwetsbaarheid treft eerdere versies en gelijk aan versie 7.4.0.
De ontwikkelaars die aan de plug-in zijn gekoppeld, hebben deze bijgewerkt naar versie 7.4.1, wat de veiligste versie is.
Dit waren de aangebrachte beveiligingsupdates, volgens de officiële plug-in changelog:
“Fix: validatie van bestelsleutel toevoegen. Fix: voeg sanering toe en ontsnap aan sommige uitvoer.”
Er zijn een paar problemen die opgelost moesten worden.
De eerste lijkt een gebrek aan validatie te zijn, wat over het algemeen een controle is om te valideren dat een verzoek afkomstig is van een geautoriseerde entiteit.
Het volgende is opschoning, wat verwijst naar een proces waarbij invoer wordt geblokkeerd die niet geldig is. Als een item bijvoorbeeld alleen tekst toestaat, moet het worden ingesteld om het laden van scripts te verbieden.
Wat de changelog vermeldt, is het ontsnappen aan exits, wat een manier is om ongewenste en kwaadaardige invoer te blokkeren.
De non-profit beveiligingsorganisatie Open Worldwide Application Security Project (OWASP) legt het zo uit:
“Coderen en ontsnappen zijn verdedigingstechnieken die bedoeld zijn om injectieaanvallen te stoppen.”
De officiële WordPress API-handleiding legt het als volgt uit:
“Output escapen is het proces waarbij uitvoergegevens worden beveiligd door ongewenste gegevens zoals HTML-tags of verkeerd opgemaakte scripts te verwijderen.
Dit proces helpt uw gegevens te beschermen voordat deze aan de eindgebruiker worden weergegeven.”
Het wordt ten zeerste aanbevolen dat gebruikers van de plug-in hun plug-ins onmiddellijk updaten naar versie 7.4.1
Lees de beveiligingskennisgeving op Patchstack:
Openbaarmaking van IDOR aan niet-geverifieerde PII in de WooCommerce Stripe Gateway-plug-in
Uitgelichte afbeelding door Shutterstock/FedorAnisimov
Hey, ik ben Brent, en ik speel al een lange tijd mee in de SEO scene. Ik ben vooral heel actief in de Amerikaanse markt, en hou dan ook wel van een uitdaging. Ik ben sinds kort aan het uitbreiden binnenin de Benelux, en besluit hier dan ook te oversharen!
Wil je meer leren, klik dan op lees meer!
