Sommario
Gli utenti di WordPress che utilizzano il plugin WooCommerce Stripe Gateway sono stati invitati a effettuare un aggiornamento urgente alla versione 7.4.1 o successiva, a causa di una grave vulnerabilità che potrebbe esporre i dati personali degli utenti. La vulnerabilità, assegnata come CVE-2023-34000, riguarda la versione gratuita del plugin WooCommerce Stripe Gateway, specificamente le versioni 7.4.0 e precedenti.
Una vulnerabilità preoccupante
Il plugin di e-commerce, molto popolare, ha accumulato più di 900.000 installazioni attive, rendendo la gravità del bug particolarmente allarmante. Poiché il plugin consente ai clienti di processare i pagamenti sulla propria pagina WordPress del business scelto, invece di essere reindirizzati a una pagina ospitata esternamente, il plugin Stripe si è dimostrato particolarmente popolare.
Dettagli sulla vulnerabilità
La preoccupazione per CVE-2023-34000 deriva dal fatto che qualsiasi utente non autenticato è stato in grado di accedere ai dati personali di qualsiasi ordine WooCommerce, inclusi indirizzi email, nomi e indirizzi completi.
Scoperta e risoluzione della vulnerabilità
Il fornitore di servizi di sicurezza WordPress Patchstack ha scoperto per primo la vulnerabilità e ha notificato al fornitore del plugin il 17 aprile. Tuttavia, è passato poco più di sei settimane prima che venisse rilasciata la versione 7.4.1 per risolvere il problema.
Aggiornamento del plugin
Il changelog per la versione 7.4.1 include due voci: “Aggiunta della validazione della chiave dell’ordine” e “Aggiunta della sanificazione e dell’escaping di alcuni output”. Nonostante lo spavento per la sicurezza, il plugin di pagamento rimane un pilastro per molte aziende di e-commerce che scelgono WordPress, per la sua capacità di processare pagamenti Visa, MasterCard e American Express – incluso tramite Apple Pay – tramite l’API di Stripe.
