2 min lugemine

Aeg lappida: WordPressi Stripe'i makse plugin lekitas kasutajate andmeid

Veebirebane
16. juuni 2023

Eesti päritolu küberturbefirma PatchStack leidis WordPressi WooCommerce´i e-poe Stripe Gateway pistikprogrammist vea, mis teeb selle plugina kasutajate kodulehed haavatavaks. Nimelt laseb turvaauk kõigil autentimata kasutajatel vaadata pistikprogrammi kaudu tehtud tellimuste üksikasju.

WooCommerce Stripe Payment on WordPressi e-kaubanduse saitide jaoks loodud maksevärav, millel on praegu ligi 900 000 aktiivset installi. Selle kaudu saavad e-poed veebisaidil aktsepteerida selliseid makseviise nagu Visa, MasterCard, American Express, Apple Pay ja Google Pay, mis käivad läbi Stripe'i maksete töötlemise API.

Kui tehnilisemalt sügavamale kaevuda, siis peituvad vead javascript_params ning payment_fields funktsioonides, mis väljastavad liiga palju infot võõrale küsijale. Andmed, mida saab välja õngitseda, on arvelduse e-posti aadress, kauba saatmise aadress ning kasutaja täisnimi. Krediitkaardi- ja muid kasutaja andmeid ei lekitata.

Andmeleket paljastamist peetakse tõsiseks ja see võib viia täiendavate rünnakuteni, nagu näiteks konto kaaperdamise katsed ja identiteedivargus sihitud andmepüügimeilide kaudu.

Viga tuleneb tellimusobjektide ebaturvalisest käsitlemisest ja õige juurdepääsukontrolli puudumisest.

Need koodivead lasevad kuritarvitada funktsioone mis tahes WooCommerce'i tellimuse üksikasjade kuvamiseks ilma päringu õigusi või tellimuse omandiõigust kontrollimata.

Turvaauk mõjutab kõiki WooCommerce Stripe Gateway versioone, mis on vanemad kui 7.4.1, millele tuleks kasutajatel kiiresti oma veebilehe kood uuendada. Turvaplaaster versiooniga 7.4.1 avaldati 30. mail 2023, kuid praegu on lappimata veel üle poolte installatsioonidest, näitab WordPressi statistika.

Veebirebane

Veebimajutus.ee pakub oma klientidele mugavusteenust domeeni, e-posti, kodulehe majutuse ja tööriistade vallas. Elkdata OÜ on tegutsenud 25 aastat, teenindades igapäevaselt pea 25 000 klienti, luues neile väärtust läbi kiirete ja lihtsate veebiteenuste.

Kasutajad kes lugesid seda artiklit lugesid ka neid

Uus iseteenindus
Ära kliki võõra saadetud e-kirja lisandil! Levimas on uus ohtlik viirus
Veebimajutus Turvalisus Wordpress
Ettevaatust! Elementor Pro turvanõrkus puudutab 11 miljonit WordPressi lehte
Tasuta HTTPS - Mis see on ja kas su kodulehel on seda vaja?
Domeen FI Soome
Eesti ettevõtetel ja eraisikutel on nüüd võimalik registreerida .fi domeene
Veebimajutus on Facebookis. Sina oled kah.
Saame sõpradeks? Meil on Sulle palju rääkida, küllap Sul meilegi. Teeme ära?
fox-head fox-head
Ka veebis tuleb targalt tegutseda. Eriti veebis!
Veebimajutuse 25 000 klienti rääkisid ja meie kuulasime - oleme teie vajaduste ning tagasiside põhjal loonud blogi, milleta ei saa hakkama ükski edukas e-ärimees. Eesti tippkirjutajad toovad Sinuni värskeimad nipid, uudised ja nõuanded. Ükski trend ei jää saladuseks ning väljakutse ületamatuks!
Klienditeenindus
Lisasime diili sinu ostukorvi, said ikka mega hea diili!

Vali paketi periood

1 kuu põhine arveldus

Kuus 9.90

Kokku 9.90

3 kuu põhine arveldus

Kuus 9.90

Kokku 29.70

6 kuu põhine arveldus

Kuus 9.90

Kokku 59.41

1 aasta põhine arveldus

Säästad 20% ehk -19.80

Kuus 8.25

Kokku 99.02

1 aasta
0.00
2 aastat
0.00
3 aastat
0.00
4 aastat
0.00
5 aastat
0.00
6 aastat
0.00
7 aastat
0.00
8 aastat
0.00
9 aastat
0.00
10 aastat
0.00