افزونه درگاه پرداخت WooCommerce Stripe دارای آسیبپذیری است که به مهاجم اجازه میدهد اطلاعات شناسایی شخصی مشتری (PII) را از فروشگاهها با استفاده از این افزونه سرقت کند.
محققان امنیتی هشدار میدهند که هکرها برای انجام این اکسپلویت نیازی به احراز هویت ندارند، که امتیاز بالای ۷.۵ در مقیاس ۱ تا ۱۰ را دریافت کرده است.
افزونه درگاه پرداخت ووکامرس Stripe
پلاگین دروازه پرداخت Stripe که توسط WooCommerce، Automattic، WooThemes و سایر مشارکت کنندگان توسعه یافته است، در بیش از 900000 وب سایت نصب شده است.
این یک راه آسان را برای مشتریان در فروشگاه های WooCommerce ارائه می دهد تا با تعدادی کارت اعتباری مختلف و بدون نیاز به باز کردن حساب، پرداخت را انجام دهند.
یک حساب Stripe به طور خودکار در هنگام پرداخت ایجاد می شود و تجربه خرید تجارت الکترونیک بدون اصطکاک را برای مشتریان فراهم می کند.
این افزونه از طریق یک رابط برنامه نویسی کاربردی (API) کار می کند.
یک API مانند پلی بین دو نرم افزار است که به فروشگاه WooCommerce اجازه می دهد تا با نرم افزار Stripe تعامل داشته باشد تا سفارشات از وب سایت به Stripe را به صورت یکپارچه پردازش کند.
آسیب پذیری در افزونه WooCommerce Stripe چیست؟
محققان امنیتی در Patchstack این آسیبپذیری را کشف کردند و مسئولانه آن را به طرفهای مربوطه فاش کردند.
به گفته محققان امنیتی Patchstack:
این افزونه از یک آسیبپذیری غیرقانونی و نامطمئن مستقیم شیء مرجع (IDOR) رنج میبرد.
این آسیبپذیری به هر کاربر احراز هویت نشده اجازه میدهد تا اطلاعات PII سفارشات WooCommerce از جمله ایمیل، نام کاربر و آدرس کامل را مشاهده کند.
نسخه های پلاگین WooCommerce Stripe تحت تأثیر قرار گرفتند
این آسیب پذیری نسخه های قبل و برابر با نسخه 7.4.0 را تحت تأثیر قرار می دهد.
توسعه دهندگان مرتبط با این افزونه آن را به نسخه 7.4.1 به روز کردند که امن ترین نسخه است.
این بهروزرسانیهای امنیتی بود که طبق تغییرات رسمی افزونه انجام شد:
- «رفع – افزودن اعتبارسنجی کلید سفارش.
- رفع – اضافه کردن پاکسازی و فرار از برخی خروجی ها.
چند مشکل وجود دارد که نیاز به رفع دارد.
به نظر می رسد اولین مورد عدم اعتبار است، که به طور کلی یک بررسی برای تأیید اعتبار است اگر درخواستی توسط یک نهاد مجاز باشد.
مورد بعدی پاکسازی است که به فرآیند مسدود کردن هر ورودی غیر معتبر اشاره دارد. به عنوان مثال، اگر ورودی فقط به متن اجازه می دهد، باید به گونه ای تنظیم شود که از آپلود اسکریپت ها جلوگیری کند.
چیزی که تغییرات لاگ به آن اشاره می کند خروجی های فرار است که راهی برای مسدود کردن ورودی های ناخواسته و مخرب است.
سازمان امنیتی غیر انتفاعی، Open Worldwide Application Security Project (OWASP) آن را اینگونه توضیح می دهد:
رمزگذاری و فرار تکنیکهای دفاعی هستند که برای متوقف کردن حملات تزریقی طراحی شدهاند.
کتاب راهنمای رسمی WordPress API آن را اینگونه توضیح می دهد:
خروجی فرار فرآیند ایمن سازی داده های خروجی با حذف داده های ناخواسته، مانند HTML نادرست یا تگ های اسکریپت است.
این فرآیند به امنیت دادههای شما قبل از ارائه آن برای کاربر نهایی کمک میکند.»
به شدت توصیه می شود که کاربران افزونه فورا افزونه های خود را به نسخه 7.4.1 آپدیت کنند
مشاوره امنیتی در Patchstack را بخوانید:
افشای IDOR به PII تایید نشده در افزونه WooCommerce Stripe Gateway
تصویر برجسته توسط Shutterstock/FedorAnisimov