IT-Connect » Actualités » Actu Cybersécurité » WordPress : cette extension WooCommerce laisse fuiter le détail des commandes

WordPress - Faille WooCommerce Stripe Payment Gateway
Actu Cybersécurité Web 

WordPress : cette extension WooCommerce laisse fuiter le détail des commandes

Florian BURNEL 794 Views Aucun commentaire , , 1 min read

Les utilisateurs de WordPress et de l'extension WooCommerce Stripe Payment Gateway sont priés de passer par la case maintenance dès que possible : une faille de sécurité permet à n'importe qui de récupérer le détail des commandes passées par ce plugin de paiement.

D'un côté, WooCommerce, une extension très populaire pour transformer son site WordPress en plateforme de e-commerce. De l'autre, l'extension WooCommerce Stripe Payment Gateway pour faciliter le paiement en ligne au travers du service Stripe, et permettre les paiements par Visa, MasterCard, AmericanExpress ou encore Google Pay.

Ce qui est très intéressant lorsque l'on a un site de e-commerce sous WordPress : la preuve, cette extension a plus de 900 000 installations actives.

Les analystes en sécurité de chez Patchstack ont fait la découverte d'une vulnérabilité dans cette extension : CVE-2023-34000. En l'exploitant, une personne malintentionnée et non authentifiée sur le site de e-commerce peut obtenir le détail des commandes qui ont utilisé l'extension WooCommerce Stripe Payment Gateway comme passerelle.

En fait, il est possible de voir tout le résumé de la commande, ce qui intègre des informations personnelles sur le client : le nom, le prénom, l'adresse postale, l'adresse e-mail, le nom d'utilisateur et le détail des articles commandés.

Au-delà d'exposer des informations normalement privées et confidentielles, cette vulnérabilité expose les clients à d'autres risques : le vol d'identifiants, notamment s'ils n'utilisent pas un mot de passe fort, ou- puisqu'un attaquant disposerait de toutes les informations nécessaires pour créer le piège parfait.

La faille de sécurité affecte toutes les versions de WooCommerce Stripe Payment Gateway inférieures à la version 7.4.1, qui est la version actuelle permettant de se protéger. Cette version est disponible depuis le 30 mai 2023, alors que les développeurs de l'extension sont au courant de la vulnérabilité depuis le 17 avril 2023.

Si vous utilisez cette extension, vous devez effectuer la mise à jour dès maintenant pour protéger vos données et celles de vos clients. Pour le moment, moins de 50% des sites qui utilisent cette extension ont installé la mise à jour...

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5580.Voir tous les posts

Vous pourrez aussi aimer

Patch Tuesday – Février 2022 : 48 vulnérabilités corrigées

Florian BURNEL 0

Salto, la plateforme de streaming de TF1, M6 et France TV est en ligne !

THEVET Olivier 1
Linux GNOME CVE-2023-43641

Linux avec GNOME : cette faille permet une exécution de code avec un simple téléchargement de fichier !

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.