Uma falha de segurança no Plugin WooCommerce Stripe Payment Gateway afeta mais de 900.000 sites.

O WooCommerce Stripe Payment Gateway plugin foi identificado como tendo uma falha que possibilita a um invasor roubar dados pessoais identificáveis dos clientes das lojas que utilizam o plugin.
Os pesquisadores de segurança destacam que os hackers podem retirar o exploit sem a necessidade de autenticação, sendo que o exploit foi classificado com uma pontuação alta de 7,5 em uma escala de 1 a 10.
Extensão de Pagamento do Stripe para Plugin
O plugin de processamento de pagamentos Stripe, criado em colaboração por WooCommerce, Automattic, WooThemes e outros colaboradores, está presente em mais de 900.000 websites.
Ele fornece uma opção simples para os consumidores em estabelecimentos WooCommerce efetuarem o pagamento, utilizando diversos tipos de cartões de crédito e sem a necessidade de criar uma conta.
Um perfil Stripe é gerado de forma automática durante o processo de compra, oferecendo aos consumidores uma vivência de compras online sem complicações.
O complemento opera por meio de uma API (Interface de Programação de Aplicativos).
Uma API funciona como uma conexão entre dois programas, possibilitando que a loja WooCommerce se comunique com o software Stripe de forma eficiente para realizar o processamento de pedidos do site.
Qual é a falha de segurança presente no WooCommerce Stripe Plugin?
Pesquisadores de segurança da Patchstack identificaram uma falha e a comunicaram às partes envolvidas.
Segundo especialistas em segurança do Patchstack:
Este complemento apresenta uma vulnerabilidade de Referência Direta a Objetos Insegura (IDOR).
Essa falha de segurança possibilita que indivíduos não autenticados acessem informações de PII de qualquer pedido no WooCommerce, como endereço de e-mail, nome de usuário e endereço completo.
Versões impactadas pelo plugin do WooCommerce Stripe.
A vulnerabilidade impacta tanto versões anteriores quanto aquelas que são equivalentes à versão 7.4.0.
Desenvolvedores ligados ao plugin foram responsáveis pela atualização para a versão 7.4.1, que é considerada a mais segura.
Essas foram as correções de segurança implementadas, conforme o registro oficial de alterações do plugin.
- Corrigir – Incluir Verificação da Chave de Ordem.
- Corrigir – Incluir limpeza e evitar certas saídas.
Existem certas questões que exigiam uma resolução.
A primeira situação aparenta ser a ausência de validação, que consiste em uma verificação para confirmar se uma solicitação vem de uma entidade autorizada.
A próxima etapa é a sanitização, que envolve um procedimento para impedir a entrada de qualquer conteúdo inválido. Por exemplo, se uma entrada aceita somente texto, é necessário configurá-la de modo a impedir o envio de scripts.
Paráfrase do texto: As menções em changelog servem para evitar a saída de informações indesejadas e maliciosas, funcionando como uma forma de bloquear entradas prejudiciais.
A entidade sem fins lucrativos dedicada à segurança, conhecida como Open Worldwide Application Security Project (OWASP), descreve da seguinte maneira:
“Codificar e escapar são estratégias defensivas utilizadas para impedir ataques de injeção.”
O manual oficial da API do WordPress explica da seguinte maneira:
“Escaping output é o procedimento de assegurar que os dados de saída estejam limpos, removendo informações indesejadas, como HTML mal formatado ou tags de script.”
Este método contribui para a segurança dos seus dados antes de exibi-los ao usuário final.
Recomenda-se fortemente que os usuários do plugin façam a atualização para a versão 7.4.1 sem demora.
Confira o Consultor de Segurança disponível no Patchstack.
IDOR não autenticado para informações pessoais identificáveis no plug-in Stripe Gateway do WooCommerce.
A imagem principal é fornecida pelo Shutterstock e foi criada por FedorAnisimov.