Blog

Uma falha de segurança no Plugin WooCommerce Stripe Payment Gateway afeta mais de 900.000 sites.

O WooCommerce Stripe Payment Gateway plugin foi identificado como tendo uma falha que possibilita a um invasor roubar dados pessoais identificáveis dos clientes das lojas que utilizam o plugin.

Os pesquisadores de segurança destacam que os hackers podem retirar o exploit sem a necessidade de autenticação, sendo que o exploit foi classificado com uma pontuação alta de 7,5 em uma escala de 1 a 10.

Extensão de Pagamento do Stripe para Plugin

O plugin de processamento de pagamentos Stripe, criado em colaboração por WooCommerce, Automattic, WooThemes e outros colaboradores, está presente em mais de 900.000 websites.

Ele fornece uma opção simples para os consumidores em estabelecimentos WooCommerce efetuarem o pagamento, utilizando diversos tipos de cartões de crédito e sem a necessidade de criar uma conta.

Um perfil Stripe é gerado de forma automática durante o processo de compra, oferecendo aos consumidores uma vivência de compras online sem complicações.

O complemento opera por meio de uma API (Interface de Programação de Aplicativos).

Uma API funciona como uma conexão entre dois programas, possibilitando que a loja WooCommerce se comunique com o software Stripe de forma eficiente para realizar o processamento de pedidos do site.

Qual é a falha de segurança presente no WooCommerce Stripe Plugin?

Pesquisadores de segurança da Patchstack identificaram uma falha e a comunicaram às partes envolvidas.

Segundo especialistas em segurança do Patchstack:

Este complemento apresenta uma vulnerabilidade de Referência Direta a Objetos Insegura (IDOR).

Essa falha de segurança possibilita que indivíduos não autenticados acessem informações de PII de qualquer pedido no WooCommerce, como endereço de e-mail, nome de usuário e endereço completo.

Versões impactadas pelo plugin do WooCommerce Stripe.

A vulnerabilidade impacta tanto versões anteriores quanto aquelas que são equivalentes à versão 7.4.0.

Desenvolvedores ligados ao plugin foram responsáveis pela atualização para a versão 7.4.1, que é considerada a mais segura.

Essas foram as correções de segurança implementadas, conforme o registro oficial de alterações do plugin.

  • Corrigir – Incluir Verificação da Chave de Ordem.
  • Corrigir – Incluir limpeza e evitar certas saídas.

Existem certas questões que exigiam uma resolução.

A primeira situação aparenta ser a ausência de validação, que consiste em uma verificação para confirmar se uma solicitação vem de uma entidade autorizada.

A próxima etapa é a sanitização, que envolve um procedimento para impedir a entrada de qualquer conteúdo inválido. Por exemplo, se uma entrada aceita somente texto, é necessário configurá-la de modo a impedir o envio de scripts.

Paráfrase do texto: As menções em changelog servem para evitar a saída de informações indesejadas e maliciosas, funcionando como uma forma de bloquear entradas prejudiciais.

A entidade sem fins lucrativos dedicada à segurança, conhecida como Open Worldwide Application Security Project (OWASP), descreve da seguinte maneira:

“Codificar e escapar são estratégias defensivas utilizadas para impedir ataques de injeção.”

O manual oficial da API do WordPress explica da seguinte maneira:

“Escaping output é o procedimento de assegurar que os dados de saída estejam limpos, removendo informações indesejadas, como HTML mal formatado ou tags de script.”

Este método contribui para a segurança dos seus dados antes de exibi-los ao usuário final.

Recomenda-se fortemente que os usuários do plugin façam a atualização para a versão 7.4.1 sem demora.

Confira o Consultor de Segurança disponível no Patchstack.

IDOR não autenticado para informações pessoais identificáveis no plug-in Stripe Gateway do WooCommerce.

A imagem principal é fornecida pelo Shutterstock e foi criada por FedorAnisimov.

Artigos relacionados

Back to top button