WordPress, attenzione al plugin per l'e-commerce: c'è un bug che può esporre dati sensibili

WordPress, attenzione al plugin per l'e-commerce: c'è un bug che può esporre dati sensibili

Si tratta di WooCommerce Stripe Gateway: è già disponibile la versione corretta da installare quanto prima

di pubblicata il , alle 11:41 nel canale Sicurezza
WordPress
 

E' stato scoperto un bug a carico del plugin WooCommerce Stripe Gateway per WordPress che permette a qualsiasi utente non autenticato di poter visualizzare i dettagli di ordini effettuati tramite il plug-in. Stripe Payment è un gatway di pagamento che spesso viene utilizzato sui siti e-commerce realizzati con WordPress e conta al momento circa 900 mila installazioni attive.

Utilizzando questo plugin è possibile mettere il sito web nelle condizioni di accettare i più diffusi metodi di pagamento elettronici, come carte di credito e i sistemi Apple Pay e Google Pay, sfruttando l'API di elaborazione dei pagamenti di Stripe.

La vulnerabilità, tracciata con il codice CVE-2023-34000, è stata individuata dai ricercatori di sicurezza di Patchstack i quali sottolineano come il rischio sia quello dell'esposizione di dettagli sensibili ad eventuali attaccanti e malintenzionati, come ad esempio i dati della pagina di pagamento, informazioni di identificazione personale, indirizzi e-mail, indirizzi di spedizione e il nome completo dell'utente che ha effettuato un ordine.

Si tratta quindi di una vulnerabilità abbastanza grave, proprio per via della tipologia dei dati esposti: un malintenzionato potrebbe infatti partire da qui per raccogliere elementi a lui utili per altre azioni, come ad esempio tentativi di compromissione di account, furto di credenziali, attacchi phishing e, nei casi più gravi, furto di identità

La vulnerabilità è a carico di tutte le versioni del plugin precedenti alla 7.4.1 rilasciata il 30 maggio 2023 e alla quale si consiglia l'aggiornamento. Il problema è stato comunicato da PatchStack il 17 aprile 2023. Secondo le statistiche disponibili presso WordPress.org, al momento circa la metà delle installazioni attive di WooCommerce Stripe Gateway usa una versione vulnerabile, il che rappresenta un'opportunità piuttosto ghiotta per i criminali informatici, specialmente ora che la vulnerabilità è diventata di pubblico dominio.

I migliori sconti su Amazon oggi
-40%

FRITZ!Repeater 600 Edition International, Ripetitore - Wi-Fi extender fino a 600 Mbit/s (2,4 GHz), Mesh, Access Point, Interfaccia in italiano

49.99 29.99 Compra ora
-23%

Apple Portatile MacBook Air 13'' con chip M4 (2025): progettato per Apple Intelligence, display Liquid Retina da 13,6'', 16GB di memoria unificata, 256GB di archiviazione SSD, Touch ID; Argento

1149.00 888.99 Compra ora
-23%

LG SQC2 Soundbar TV 300W, 2.1 Canali con Subwoofer Wireless, Soundbar Dolby Digital, Bluetooth, Ingresso Ottico, Ingresso AUX 3,5mm, USB

112.00 Compra ora
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^