WordPress, attenzione al plugin per l'e-commerce: c'è un bug che può esporre dati sensibili

WordPress, attenzione al plugin per l'e-commerce: c'è un bug che può esporre dati sensibili

Si tratta di WooCommerce Stripe Gateway: è già disponibile la versione corretta da installare quanto prima

di pubblicata il , alle 11:41 nel canale Sicurezza
WordPress
 

E' stato scoperto un bug a carico del plugin WooCommerce Stripe Gateway per WordPress che permette a qualsiasi utente non autenticato di poter visualizzare i dettagli di ordini effettuati tramite il plug-in. Stripe Payment è un gatway di pagamento che spesso viene utilizzato sui siti e-commerce realizzati con WordPress e conta al momento circa 900 mila installazioni attive.

Utilizzando questo plugin è possibile mettere il sito web nelle condizioni di accettare i più diffusi metodi di pagamento elettronici, come carte di credito e i sistemi Apple Pay e Google Pay, sfruttando l'API di elaborazione dei pagamenti di Stripe.

La vulnerabilità, tracciata con il codice CVE-2023-34000, è stata individuata dai ricercatori di sicurezza di Patchstack i quali sottolineano come il rischio sia quello dell'esposizione di dettagli sensibili ad eventuali attaccanti e malintenzionati, come ad esempio i dati della pagina di pagamento, informazioni di identificazione personale, indirizzi e-mail, indirizzi di spedizione e il nome completo dell'utente che ha effettuato un ordine.

Si tratta quindi di una vulnerabilità abbastanza grave, proprio per via della tipologia dei dati esposti: un malintenzionato potrebbe infatti partire da qui per raccogliere elementi a lui utili per altre azioni, come ad esempio tentativi di compromissione di account, furto di credenziali, attacchi phishing e, nei casi più gravi, furto di identità

La vulnerabilità è a carico di tutte le versioni del plugin precedenti alla 7.4.1 rilasciata il 30 maggio 2023 e alla quale si consiglia l'aggiornamento. Il problema è stato comunicato da PatchStack il 17 aprile 2023. Secondo le statistiche disponibili presso WordPress.org, al momento circa la metà delle installazioni attive di WooCommerce Stripe Gateway usa una versione vulnerabile, il che rappresenta un'opportunità piuttosto ghiotta per i criminali informatici, specialmente ora che la vulnerabilità è diventata di pubblico dominio.

I migliori sconti su Amazon oggi

Ring videocamera interna (Indoor Camera 2ª gen.) | Telecamera di sorveglianza per animali domestici | Audio bidirezionale, copertura per la privacy, fai-da-te | Ring Protect: 30 gg. prova gratuita

59.99 Compra ora
-15%

Apple iPhone 16 Pro 128 GB: Telefono 5G con Controllo fotocamera, Dolby Vision 4K a 120 fps e un’autonomia senza precedenti. Compatibile con AirPods; Titanio bianco

1239.00 1059.00 Compra ora
-15%

Apple iPhone 16 Pro 256 GB: Telefono 5G con Controllo fotocamera, Dolby Vision 4K a 120 fps e un’autonomia senza precedenti. Compatibile con AirPods; Titanio nero

1355.00 Compra ora
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^