Le plugin WooCommerce Stripe Gateway pour WordPress s’est avéré vulnérable à un bogue qui permet à tout utilisateur non authentifié de voir les détails de la commande passée via le plugin.
WooCommerce Stripe Payment est une passerelle de paiement pour les sites de commerce électronique WordPress, qui compte actuellement 900 000 installations actives. Il permet aux sites Web d’accepter des méthodes de paiement telles que Visa, MasterCard, American Express, Apple Pay et Google Pay via l’API de traitement des paiements de Stripe.
Les analystes de sécurité de Patchstack ont découvert que le plugin populaire est vulnérable à CVE-2023-34000, une faille IDOR (Direct Object Reference) non authentifiée et non sécurisée qui pourrait exposer des détails sensibles aux attaquants.
Cette vulnérabilité pourrait permettre aux utilisateurs non authentifiés d’afficher les données de la page de paiement, y compris les PII (informations personnellement identifiables), les adresses e-mail, les adresses de livraison et le nom complet de l’utilisateur.
L’exposition des données ci-dessus est considérée comme grave et pourrait entraîner des attaques supplémentaires, telles que des tentatives de détournement de compte et le vol d’informations d’identification via des e-mails de phishing ciblés.
La faille provient de la gestion non sécurisée des objets de commande et d’un manque de mesures de contrôle d’accès appropriées dans les fonctions ‘javascript_params’ et ‘payment_fields’ du plugin.
Ces erreurs de code permettent d’abuser des fonctions d’affichage des détails de la commande de n’importe quel WooCommerce sans vérifier les autorisations de la demande ou la propriété de la commande (appariement des utilisateurs).
La faille affecte toutes les versions de WooCommerce Stripe Gateway inférieures à 7.4.1, qui est la version vers laquelle il est recommandé aux utilisateurs de mettre à niveau.
Patchstack a découvert et signalé CVE-2023-34000 au fournisseur du plug-in le 17 avril 2023, et un correctif avec la version 7.4.1 a été publié le 30 mai 2023.
Selon les statistiques de WordPress.org, plus de la moitié des installations actives du plugin utilisent actuellement une version vulnérable, ce qui se traduit par une grande surface d’attaque, susceptible d’attirer l’attention des cybercriminels.
Il y a eu plusieurs cas de pirates informatiques attaquant des plugins WordPress vulnérables au cours des derniers mois, tels que Elementor Pro, Advanced Custom Fields, Essential Addons for Elementor et Beautiful Cookie Consent Banner, pour n’en nommer que quelques-uns.
Les administrateurs de site WordPress doivent maintenir tous leurs plugins à jour, désactiver ceux qui ne sont pas nécessaires/utilisés et surveiller leurs sites pour toute activité suspecte comme la modification de fichiers, le changement de paramètres ou la création de nouveaux comptes d’administrateur.