Webáruházak százezreit veszélyezteti ez a hiba

​Még mindig több százezer WordPress alapú webáruház kiszolgáltatott a kibertámdásokkal és az adatszivárgásokkal szemben egy bővítmény hibája miatt.
 

A WooCommerce Stripe Payment Gateway nevű kiegészítő meglehetősen nagy népszerűségnek örvend a WordPress alapú weboldalak esetében. Különösen azon webhelyek körében, amelyek elektronikus kereskedelmet is támogatnak, azaz webáruházként funkcionálnak a WooCommerce segítségével.
 
A szóban forgó kiegészítő fejlesztői május végén számoltak be arról, hogy egy súlyos biztonsági hibára derült fény a bővítményben, amelyet akkor meg is szüntettek. Azonban a Patchstack legfrissebb jelentése szerint még mindig rengeteg olyan webshop működik világszerte, amelyek a sérülékeny verziójú plugint használják.
 
A WooCommerce Stripe Payment Gateway célja, hogy Stripe API-n keresztül lehetőséget adjon az online fizetésekre. Támogat bank- és hitelkártyás, mobilos, valamint kriptovalutás fizetéseket is. Eddig 900 ezer alkalommal töltötték le a WordPress hivatalos oldaláról. A legutóbbi jelentések alapján még mindig több százezerre rúg azon webhelyek száma, amelyek a sérülékeny változatát futtatják a kiegészítőnek.
 
A bővítmény CVE-2023-34000 azonosítóval ellátott biztonsági hibája a támadók számára lehetőséget ad arra, hogy a felhasználók rendelések során megadott adataihoz (nevekhez, címekhez, e-mail címekhez, stb.) hozzáférést szerezzenek. Mindezt olyan módon, hogy nincs szükségük semmiféle előzetes hitelesítésre.
 
A sebezhetőséget a fejlesztők a WooCommerce Stripe Payment Gateway 7.4.1-es verziójának kiadásával szüntették meg.