Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

900.000 siti WordPress a rischio compromissione a causa di un bug su WooCommerce Stripe Gateway

Redazione RHC : 17 Giugno 2023 08:17

È stata scoperta una vulnerabilità nel popolare plug-in WordPress WooCommerce Stripe Gateway che potrebbe portare alla fuga di informazioni riservate: qualsiasi utente non autenticato può visualizzare i dettagli degli ordini effettuati tramite il plug-in.

WooCommerce Stripe Payment è un gateway di pagamento per siti di e-commerce basati su WordPress. Consente ai siti Web di accettare metodi di pagamento come Visa, MasterCard, American Express, Apple Pay e Google Pay tramite l’API di elaborazione dei pagamenti Stripe. Il plugin ha attualmente oltre 900.000 installazioni attive.

Gli analisti di Patchstack hanno scoperto che il plug-in è vulnerabile al CVE-2023-34000, un problema di tipo IDOR (Insecure Direct Object References), che può portare alla divulgazione di dati sensibili. Ad esempio, la vulnerabilità consente agli utenti non autorizzati di visualizzare i dati dalle pagine di pagamento, comprese le informazioni personali degli utenti, i loro indirizzi e-mail, indirizzi di spedizione e nome completo.

Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Come scrivono i ricercatori, il problema è legato all’elaborazione non sicura degli oggetti dell’ordine e alla mancanza di un adeguato meccanismo di controllo degli accessi nelle funzioni javascript_params e payment_fields. 

Di conseguenza, è possibile abusare di queste funzioni per visualizzare i dettagli di qualsiasi ordine senza controllare i permessi di query o la mappatura degli utenti.

È stato segnalato che la vulnerabilità interessa tutte le versioni di WooCommerce Stripe Gateway precedenti alla 7.4.1, a cui si consiglia agli utenti di eseguire l’aggiornamento. La versione rivista 7.4.1 è stata rilasciata il 30 maggio 2023.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS

Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009