Une faille de sécurité critique dans le Plugin WooCommerce Stripe Payment Gateway mettait en péril la sécurité des utilisateurs. L'exploitation de la vulnérabilité pouvait permettre à un attaquant de chaparder les paiements directement sur la plateforme et de voler d'autres informations sensibles. Les développeurs ont corrigé le bogue et publié le correctif de sécurité avec la version suivante du plugin, en exhortant les utilisateurs à se mettre à jour.
La passerelle de paiement Stripe présente une faille IDOR
Selon un récent billet de Patchstack, une grave faille de sécurité existait dans le plugin Stripe Payment Gateway, mettant en péril de nombreuses boutiques en ligne.
Stripe Payment Gateway est un plugin WooCommerce populaire qui permet aux boutiques en ligne de gérer les paiements directement à partir de l'API Stripe. Le plugin compte actuellement plus de 900 000 installations actives. Cela signifie que toute vulnérabilité de ce plugin, si elle est exploitée, pourrait avoir un impact direct sur des milliers de boutiques en ligne dans le monde.
Patchstack a signalé que l'API du plugin présentait une vulnérabilité IDOR (Unauthenticated Insecure Direct Object Reference). La faille existe généralement en raison de l'absence d'un contrôle d'accès approprié sur l'API du plugin. javascript_params et payment_fields . L'exploitation de cette vulnérabilité pourrait permettre à un attaquant non authentifié de voir et d'accéder aux noms, adresses électroniques, adresses complètes et informations financières sensibles de n'importe quel utilisateur cible.
Cette vulnérabilité affecte toutes les versions de la passerelle de paiement Stripe antérieures à la version 7.4.0 incluse. Dès la découverte de la faille, Patchstack a signalé le problème aux développeurs du plugin en avril 2023. Puis, en quelques jours, l'équipe du plugin a publié la correction du bug avec la version 7.4.1 du plugin le 30 mai 2023.
Après avoir attendu quelques semaines pour que la dernière version du plugin soit déployée, Patchstack a maintenant publié les détails de ses conclusions suite à la divulgation responsable de la vulnérabilité.
Maintenant que le correctif a été publié, tous les administrateurs WordPress qui utilisent le plugin Stripe Payment Gateway sur leurs sites doivent mettre à jour leurs boutiques avec la dernière version du plugin dès que possible. Ces mises à jour sont toujours cruciales pour les gérants de boutiques en ligne, car toute faille de sécurité affectant les données de leurs clients a non seulement un impact sur ces derniers, mais porte également un coup majeur à la crédibilité de la boutique et à la confiance des clients.
Fais-nous part de tes réflexions dans les commentaires.
