O Stripe, integrado no WooCommerce, tornou-se crucial em infraestruturas de retalho digital, permitindo às empresas aceitar uma grande variedade de pagamentos.
A falha, representada pelo CVE-2023-3162 permitia ao atacante fazer login por qualquer utilizador que comprasse alguma coisa, por causa da forma como o plugin geria a autenticação aquando o momento de checkout por parte do plugin do Stripe. O plugin não verificava de forma correta o utilizador que estava a comprar o produto, permitindo ao atacante dar bypass à autenticação. Explorando a falha, o atacante teria acesso à conta do utilizador que fizesse a compra, podendo ver detalhes como cartões de crédito, histórico de compra, etc.
Solução
- Atualizar o plugin para a versão mais recente do WooCommerce (3.7.8 ou maior).
- Caso a atualização não seja possível, desativar o plugin
Mais informações de como atualizar: https://wordpress.org/plugins/payment-gateway-stripe-and-woocommerce-integration/
Mais informações técnicas da falha: https://vuldb.com/pt/?id.235879
Comments