WordPress : cette extension WooCommerce laisse fuiter le détail des commandes
Les utilisateurs de WordPress et de l'extension WooCommerce Stripe Payment Gateway sont priés de passer par la case maintenance dès que possible : une faille de sécurité permet à n'importe qui de récupérer le détail des commandes passées par ce plugin de paiement.
D'un côté, WooCommerce, une extension très populaire pour transformer son site WordPress en plateforme de e-commerce. De l'autre, l'extension WooCommerce Stripe Payment Gateway pour faciliter le paiement en ligne au travers du service Stripe, et permettre les paiements par Visa, MasterCard, AmericanExpress ou encore Google Pay.
Ce qui est très intéressant lorsque l'on a un site de e-commerce sous WordPress : la preuve, cette extension a plus de 900 000 installations actives.
Les analystes en sécurité de chez Patchstack ont fait la découverte d'une vulnérabilité dans cette extension : CVE-2023-34000. En l'exploitant, une personne malintentionnée et non authentifiée sur le site de e-commerce peut obtenir le détail des commandes qui ont utilisé l'extension WooCommerce Stripe Payment Gateway comme passerelle.
En fait, il est possible de voir tout le résumé de la commande, ce qui intègre des informations personnelles sur le client : le nom, le prénom, l'adresse postale, l'adresse e-mail, le nom d'utilisateur et le détail des articles commandés.
Au-delà d'exposer des informations normalement privées et confidentielles, cette vulnérabilité expose les clients à d'autres risques : le vol d'identifiants, notamment s'ils n'utilisent pas un mot de passe fort, ou- puisqu'un attaquant disposerait de toutes les informations nécessaires pour créer le piège parfait.
La faille de sécurité affecte toutes les versions de WooCommerce Stripe Payment Gateway inférieures à la version 7.4.1, qui est la version actuelle permettant de se protéger. Cette version est disponible depuis le 30 mai 2023, alors que les développeurs de l'extension sont au courant de la vulnérabilité depuis le 17 avril 2023.
Si vous utilisez cette extension, vous devez effectuer la mise à jour dès maintenant pour protéger vos données et celles de vos clients. Pour le moment, moins de 50% des sites qui utilisent cette extension ont installé la mise à jour...