Falla critica di un plugin WordPress per pagamenti: transazioni a rischio

Secondo quanto riportato da The Hacker News, è stata individuata una preoccupante falla di sicurezza nel plugin di WordPress noto come WooCommerce Stripe Gateway.

Questo componente aggiuntivo per il noto CMS viene comunemente utilizzato per consentire diversi metodi di pagamento su e-Commerce (da Visa a MasterCard, da American Express a bonifici SEPA) collegandoli direttamente al gateway di pagamento Stripe del sito. Inutile affermare come, trattandosi di uno strumento che tratta transazioni economiche, risulti molto delicato.

Il ricercatore di sicurezza Rafie Muhammad di Patchstack ha individuato delle criticità nei meccanismi di controllo degli accessi del plugin, nello specifico per quanto riguarda le funzioni payment_fields e javascript_params, nonché altri problemi nel contesto della gestione degli ordini, di una vulnerabilità cross-site scripting non autenticata.

WooCommerce Stripe Gateway: con l’aggiornamento 7.4.1 e-Commerce al sicuro

Secondo Muhammad “Questa vulnerabilità consente a qualsiasi utente non autenticato di visualizzare i dati PII di qualsiasi ordine WooCommerce, inclusi e-mail, nome utente e indirizzo completo“.

La segnalazione del ricercatore di sicurezza ha comunque portato a un pronto intervento da parte degli sviluppatori. WooCommerce, infatti, ha prontamente offerto una nuova versione patchata del plugin, ovvero la 7.4.1, che va a risolvere le suddette criticità.

Nonostante la versione aggiornata è stata pubblicata già da qualche settimana, per questioni di sicurezza le vulnerabilità sono state rivelate al pubblico solo ora.

Quanto accaduto resta comunque allarmante, soprattutto per l’importanza del componente aggiuntivo. WooCommerce Stripe Gateway, infatti, conta allo stato attuale più di 900.000 download ed è disponibile in ben 32 diversi linguaggi (tra cui l’italiano).