آسیب پذیری در افزونه WooCommerce Stripe Payment Gateway بیش از 900000 وب سایت را تحت تأثیر قرار داده است.

کشف شده است که افزونه دروازه پرداخت WooCommerce Stripe دارای آسیب‌پذیری است که به هکر اجازه می‌دهد اطلاعات شخصی مشتری (PII) را از فروشگاه‌هایی که از این افزونه استفاده می‌کنند سرقت کند.

محققان امنیتی هشدار می دهند که هکرها برای اجرای این اکسپلویت که امتیاز بالای 7.5 را در مقیاس 1 تا 10 دریافت کرده است، نیازی به احراز هویت ندارند.

افزونه درگاه پرداخت ووکامرس Stripe

افزونه درگاه پرداخت Stripe که توسط WooCommerce، Automattic، WooThemes و سایر مشارکت کنندگان توسعه یافته است، در بیش از 900000 وب سایت نصب شده است.

این یک روش آسان برای مشتریان فروشگاه WooCommerce برای پرداخت با چندین کارت اعتباری مختلف و بدون نیاز به باز کردن حساب ارائه می دهد.

یک حساب Stripe به طور خودکار در هنگام پرداخت ایجاد می شود، و به مشتریان یک تجربه خرید یکپارچه از تجارت الکترونیکی می دهد.

این افزونه از طریق یک رابط برنامه نویسی کاربردی (API) کار می کند.

API مانند پلی بین دو نرم افزار است که به فروشگاه WooCommerce اجازه می دهد تا با نرم افزار Stripe تعامل داشته باشد تا سفارشات را از وب سایت به Stripe به صورت یکپارچه پردازش کند.

آسیب پذیری افزونه WooCommerce Stripe چیست؟

محققان امنیتی در Patchstack این آسیب‌پذیری را کشف کردند و مسئولانه آن را به طرف‌های مربوطه فاش کردند.

به گفته محققان امنیتی Patchstack:

“این افزونه از یک آسیب پذیری غیرقابل احراز هویت ارجاع دهنده شیء ناامن (IDOR) رنج می برد.”

این آسیب‌پذیری به هر کاربر غیرمجاز اجازه می‌دهد تا اطلاعات شخصی هر سفارش WooCommerce، از جمله ایمیل، نام کاربری و آدرس کامل را مشاهده کند.

نسخه های افزونه WooCommerce Stripe تحت تأثیر قرار گرفته است

این آسیب پذیری نسخه های قبل و برابر با نسخه 7.4.0 را تحت تأثیر قرار می دهد.

توسعه دهندگان مرتبط با این افزونه آن را به نسخه 7.4.1 به روز کرده اند که امن ترین نسخه است.

طبق تغییرات رسمی افزونه، این به‌روزرسانی‌های امنیتی انجام شده است:

• “رفع – افزودن اعتبار سنجی کلید سفارش.
• رفع – ضدعفونی کردن را اضافه کنید و از برخی نتایج اجتناب کنید.”

چند مشکل وجود دارد که باید برطرف شود.

به نظر می رسد اولین مورد عدم تأیید اعتبار است، که اساساً یک بررسی تأیید اعتبار است که درخواست از طرف یک نهاد مجاز است.

مرحله بعدی پاکسازی است که به فرآیند مسدود کردن هر ورودی غیر معتبر اشاره دارد. به عنوان مثال، اگر ورود فقط به متن اجازه می دهد، باید به گونه ای تنظیم شود که بارگذاری اسکریپت مجاز نباشد.

آنچه در تغییرات ذکر شده است اجتناب از خروج است که راهی برای مسدود کردن ورودی های ناخواسته و مخرب است.

سازمان غیرانتفاعی امنیتی Open Worldwide Application Security Project (OWASP) آن را اینگونه توضیح می دهد:

رمزگذاری و فرار تکنیک‌های دفاعی هستند که برای توقف حملات تزریقی طراحی شده‌اند.

راهنمای رسمی وردپرس API آن را اینگونه توضیح می دهد:

«اجتناب از خروجی فرآیند محافظت از داده‌های منبع با حذف داده‌های ناخواسته، مانند تگ‌های HTML یا اسکریپت نادرست است.

این فرآیند به محافظت از داده‌های شما قبل از ارائه آن به کاربر نهایی کمک می‌کند.

به کاربران این افزونه اکیداً توصیه می شود که افزونه های خود را بلافاصله به نسخه 7.4.1 به روز کنند

نکات امنیتی را در Patchstack بخوانید:

IDOR تأیید نشده برای افشای PII در افزونه WooCommerce Stripe Gateway

تصویر برجسته توسط Shutterstock/FedorAnisimov