WordPress, attenzione al plugin per l'e-commerce: c'è un bug che può esporre dati sensibili

E' stato scoperto un bug a carico del plugin WooCommerce Stripe Gateway per WordPress che permette a qualsiasi utente non autenticato di poter visualizzare i dettagli di ordini effettuati tramite il plug-in. Stripe Payment è un gatway di pagamento che spesso viene utilizzato sui siti e-commerce realizzati con WordPress e conta al momento circa 900 mila installazioni attive.

Utilizzando questo plugin è possibile mettere il sito web nelle condizioni di accettare i più diffusi metodi di pagamento elettronici, come carte di credito e i sistemi Apple Pay e Google Pay, sfruttando l'API di elaborazione dei pagamenti di Stripe.

Si tratta quindi di una vulnerabilità abbastanza grave, proprio per via della tipologia dei dati esposti: un malintenzionato potrebbe infatti partire da qui per raccogliere elementi a lui utili per altre azioni, come ad esempio tentativi di compromissione di account, furto di credenziali, attacchi phishing e, nei casi più gravi, furto di identità. 

La vulnerabilità è a carico di tutte le versioni del plugin precedenti alla 7.4.1 rilasciata il 30 maggio 2023 e alla quale si consiglia l'aggiornamento. Il problema è stato comunicato da PatchStack il 17 aprile 2023. Secondo le statistiche disponibili presso WordPress.org, al momento circa la metà delle installazioni attive di WooCommerce Stripe Gateway usa una versione vulnerabile, il che rappresenta un'opportunità piuttosto ghiotta per i criminali informatici, specialmente ora che la vulnerabilità è diventata di pubblico dominio.