Eesti päritolu küberturbefirma PatchStack leidis WordPressi WooCommerce´i e-poe Stripe Gateway pistikprogrammist vea, mis teeb selle plugina kasutajate kodulehed haavatavaks. Nimelt laseb turvaauk kõigil autentimata kasutajatel vaadata pistikprogrammi kaudu tehtud tellimuste üksikasju.
WooCommerce Stripe Payment on WordPressi e-kaubanduse saitide jaoks loodud maksevärav, millel on praegu ligi 900 000 aktiivset installi. Selle kaudu saavad e-poed veebisaidil aktsepteerida selliseid makseviise nagu Visa, MasterCard, American Express, Apple Pay ja Google Pay, mis käivad läbi Stripe’i maksete töötlemise API.
Kui tehnilisemalt sügavamale kaevuda, siis peituvad vead javascript_params ning payment_fields funktsioonides, mis väljastavad liiga palju infot võõrale küsijale. Andmed, mida saab välja õngitseda, on arvelduse e-posti aadress, kauba saatmise aadress ning kasutaja täisnimi. Krediitkaardi- ja muid kasutaja andmeid ei lekitata.
Andmeleket paljastamist peetakse tõsiseks ja see võib viia täiendavate rünnakuteni, nagu näiteks konto kaaperdamise katsed ja identiteedivargus sihitud andmepüügimeilide kaudu.
Viga tuleneb tellimusobjektide ebaturvalisest käsitlemisest ja õige juurdepääsukontrolli puudumisest.
Need koodivead lasevad kuritarvitada funktsioone mis tahes WooCommerce’i tellimuse üksikasjade kuvamiseks ilma päringu õigusi või tellimuse omandiõigust kontrollimata.
Turvaauk mõjutab kõiki WooCommerce Stripe Gateway versioone, mis on vanemad kui 7.4.1, millele tuleks kasutajatel kiiresti oma veebilehe kood uuendada. Turvaplaaster versiooniga 7.4.1 avaldati 30. mail 2023, kuid praegu on lappimata veel üle poolte installatsioonidest, näitab WordPressi statistika.
