Bestelgegevens duizenden webwinkels via onveilige betaalplug-in te achterhalen

Toegevoegd door - Ariën -, 10 maanden geleden

Bestelgegevens duizenden webwinkels via onveilige betaalplug-in te achterhalenEen populaire betaalplug-in heeft een kwetsbaarheid die het mogelijk maakt om de bestelgegevens van klanten op te vragen bij meer dan honderdduizend webwinkels. Deze gegevens omvatten onder andere e-mailadressen, namen en adresgegevens. Hoewel er twee weken geleden een update is uitgebracht om dit probleem op te lossen, hebben veel webshops deze update nog niet geïnstalleerd.

De getroffen webwinkels maken gebruik van de WooCommerce Stripe Payment Gateway voor hun betalingsverwerking. WooCommerce is een plug-in die van WordPress-sites e-commerceplatforms maakt. De plug-in is geïnstalleerd op meer dan vijf miljoen WordPress-sites. Voor WooCommerce zijn er verschillende andere plug-ins beschikbaar, waaronder de Stripe Payment Gateway. Deze specifieke plug-in is ontwikkeld door WooCommerce zelf en wordt gebruikt door meer dan 900.000 webwinkels.

Een kwetsbaarheid genaamd "unauthenticated Insecure Direct Object Reference" (IDOR) in de plug-in maakt het mogelijk voor ongeauthenticeerde gebruikers om toegang te krijgen tot elke bestelling in de webshop, inclusief de gegevens van klanten. Dit werd ontdekt door het beveiligingsbedrijf Patchstack. IDOR-kwetsbaarheden ontstaan wanneer een webapplicatie of API een identificator gebruikt om objecten in een database op te vragen zonder authenticatie of andere vormen van toegangscontrole. Ondanks de eenvoud van IDOR-kwetsbaarheden komen ze nog steeds regelmatig voor.

Daarnaast blijkt dat de Stripe Payment Gateway ook niet voldoende controleert of de persoon die toegang vraagt tot de bestelgegevens daadwerkelijk bevoegd is. Op 31 mei heeft WooCommerce versie 7.4.1 van de plug-in uitgebracht om dit probleem op te lossen. Op die dag hebben 580.000 webshops de nieuwste versie gedownload, en sindsdien zijn er dagelijks ongeveer tienduizend nieuwe downloads geweest. Dit betekent echter dat er nog steeds minstens 180.000 webshops zijn die een kwetsbare versie van de plug-in gebruiken.

Gerelateerde nieuwsberichten

28/06/2023 Lek ontdekt in module voor leeromgevingen voor Wordpress
28/05/2023 WordFence waarschuwt voor lek in cookie consent add-on
23/04/2023 Sucuri meldt stijging van aanvallen op Wordpress door verlaten add-on

 

Er zijn 1 reacties op 'Bestelgegevens duizenden webwinkels via onveilige betaalplugin te achterhalen'

PHP hulp
PHP hulp
0 seconden vanaf nu
 

Gesponsorde koppelingen
Ad Fundum
Ad Fundum
9 maanden geleden
 
0 +1 -0 -1
De bron mist hier ook. (Ik begin als Ward te klinken..)

Om te reageren heb je een account nodig en je moet ingelogd zijn.

Labels

PHP nieuws opties

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.