آسیب پذیری در افزونه WooCommerce Stripe Payment Gateway بیش از 900000 وب سایت را تحت تأثیر قرار می دهد.

افزونه درگاه پرداخت WooCommerce Stripe دارای آسیب‌پذیری است که به مهاجم اجازه می‌دهد اطلاعات شناسایی شخصی مشتری (PII) را از فروشگاه‌ها با استفاده از این افزونه سرقت کند.

محققان امنیتی هشدار می‌دهند که هکرها برای انجام این اکسپلویت نیازی به احراز هویت ندارند، که امتیاز بالای ۷.۵ در مقیاس ۱ تا ۱۰ را دریافت کرده است.

افزونه درگاه پرداخت ووکامرس Stripe

پلاگین دروازه پرداخت Stripe که توسط WooCommerce، Automattic، WooThemes و سایر مشارکت کنندگان توسعه یافته است، در بیش از 900000 وب سایت نصب شده است.

این یک راه آسان را برای مشتریان در فروشگاه های WooCommerce ارائه می دهد تا با تعدادی کارت اعتباری مختلف و بدون نیاز به باز کردن حساب، پرداخت را انجام دهند.

یک حساب Stripe به طور خودکار در هنگام پرداخت ایجاد می شود و تجربه خرید تجارت الکترونیک بدون اصطکاک را برای مشتریان فراهم می کند.

این افزونه از طریق یک رابط برنامه نویسی کاربردی (API) کار می کند.

یک API مانند پلی بین دو نرم افزار است که به فروشگاه WooCommerce اجازه می دهد تا با نرم افزار Stripe تعامل داشته باشد تا سفارشات از وب سایت به Stripe را به صورت یکپارچه پردازش کند.

آسیب پذیری در افزونه WooCommerce Stripe چیست؟

محققان امنیتی در Patchstack این آسیب‌پذیری را کشف کردند و مسئولانه آن را به طرف‌های مربوطه فاش کردند.

به گفته محققان امنیتی Patchstack:

این افزونه از یک آسیب‌پذیری غیرقانونی و نامطمئن مستقیم شیء مرجع (IDOR) رنج می‌برد.

این آسیب‌پذیری به هر کاربر احراز هویت نشده اجازه می‌دهد تا اطلاعات PII سفارشات WooCommerce از جمله ایمیل، نام کاربر و آدرس کامل را مشاهده کند.

نسخه های پلاگین WooCommerce Stripe تحت تأثیر قرار گرفتند

این آسیب پذیری نسخه های قبل و برابر با نسخه 7.4.0 را تحت تأثیر قرار می دهد.

توسعه دهندگان مرتبط با این افزونه آن را به نسخه 7.4.1 به روز کردند که امن ترین نسخه است.

این به‌روزرسانی‌های امنیتی بود که طبق تغییرات رسمی افزونه انجام شد:

  • «رفع – افزودن اعتبارسنجی کلید سفارش.
  • رفع – اضافه کردن پاکسازی و فرار از برخی خروجی ها.

چند مشکل وجود دارد که نیاز به رفع دارد.

به نظر می رسد اولین مورد عدم اعتبار است، که به طور کلی یک بررسی برای تأیید اعتبار است اگر درخواستی توسط یک نهاد مجاز باشد.

مورد بعدی پاکسازی است که به فرآیند مسدود کردن هر ورودی غیر معتبر اشاره دارد. به عنوان مثال، اگر ورودی فقط به متن اجازه می دهد، باید به گونه ای تنظیم شود که از آپلود اسکریپت ها جلوگیری کند.

چیزی که تغییرات لاگ به آن اشاره می کند خروجی های فرار است که راهی برای مسدود کردن ورودی های ناخواسته و مخرب است.

سازمان امنیتی غیر انتفاعی، Open Worldwide Application Security Project (OWASP) آن را اینگونه توضیح می دهد:

رمزگذاری و فرار تکنیک‌های دفاعی هستند که برای متوقف کردن حملات تزریقی طراحی شده‌اند.

کتاب راهنمای رسمی WordPress API آن را اینگونه توضیح می دهد:

خروجی فرار فرآیند ایمن سازی داده های خروجی با حذف داده های ناخواسته، مانند HTML نادرست یا تگ های اسکریپت است.

این فرآیند به امنیت داده‌های شما قبل از ارائه آن برای کاربر نهایی کمک می‌کند.»

به شدت توصیه می شود که کاربران افزونه فورا افزونه های خود را به نسخه 7.4.1 آپدیت کنند

مشاوره امنیتی در Patchstack را بخوانید:

افشای IDOR به PII تایید نشده در افزونه WooCommerce Stripe Gateway

تصویر برجسته توسط Shutterstock/FedorAnisimov