Publié le 15 juin 2023, modifié le 20 avril 2024 par Lucie Blanchard

Il a été découvert que le plug-in de passerelle de paiement WooCommerce Stripe présentait une vulnérabilité permettant à un attaquant de voler des informations personnelles identifiables (PII) des clients dans les magasins utilisant le plug-in.

  • Découverte d'une vulnérabilité dans le plugin WooCommerce Stripe Payment Gateway
  • Les informations personnelles identifiables (PII) des clients peuvent être volées
  • La mise à jour vers la version 7.4.1 est recommandée pour les utilisateurs du plugin
  • Cette vulnérabilité a reçu une note élevée de 7,5 sur une échelle de 1 à 10

Les chercheurs en sécurité avertissent que les pirates n’ont pas besoin d’authentification pour réussir l’exploit, qui a reçu une note élevée de 7,5 sur une échelle de 1 à 10.

Plugin de passerelle de paiement WooCommerce Stripe

Le plugin de passerelle de paiement Stripe, développé par WooCommerce, Automattic, WooThemes et d’autres contributeurs, est installé sur plus de 900 000 sites Web.

Il offre aux clients des magasins WooCommerce un moyen simple de passer à la caisse, avec un certain nombre de cartes de crédit différentes et sans avoir à ouvrir de compte.

Un compte Stripe est automatiquement créé à la caisse, offrant aux clients une expérience d’achat en ligne sans friction.

Le plugin fonctionne via une interface de programmation d’application (API).

Une API est comme un pont entre deux logiciels qui permet à la boutique WooCommerce d’interagir avec le logiciel Stripe pour traiter les commandes du site Web vers Stripe de manière transparente.

Quelle est la vulnérabilité du plugin WooCommerce Stripe ?

Les chercheurs en sécurité de Patchstack ont ​​​​découvert la vulnérabilité et l’ont divulguée de manière responsable aux parties concernées.

Selon les chercheurs en sécurité de Patchstack  :

« Ce plugin souffre d’une vulnérabilité IDOR (Unauthenticated Insecure Direct Object Reference).

Cette vulnérabilité permet à tout utilisateur non authentifié d’afficher les données PII de toute commande WooCommerce, y compris l’e-mail, le nom de l’utilisateur et l’adresse complète.

Versions du plugin WooCommerce Stripe affectées

La vulnérabilité affecte les versions antérieures et égales à la version 7.4.0.

Les développeurs associés au plugin l’ont mis à jour vers la version 7.4.1, qui est la version la plus sécurisée.

Voici les mises à jour de sécurité effectuées, selon le changelog officiel du plugin  :

  • « Fix – Ajouter la validation de la clé de commande
  • Correctif – Ajouter une désinfection et échapper à certaines sorties

Il y a quelques problèmes qui nécessitaient une solution.

Le premier semble être un manque de validation, qui est en général une vérification pour valider si une demande provient d’une entité autorisée.

Le suivant est la désinfection, qui fait référence à un processus de blocage de toute entrée non valide. Par exemple, si une entrée n’autorise que du texte, elle doit être configurée de manière à interdire le téléchargement des scripts.

Ce que le journal des modifications mentionne, c’est l’échappement des sorties, qui est un moyen de bloquer les entrées indésirables et malveillantes.

L’organisation de sécurité à but non lucratif, Open Worldwide Application Security Project (OWASP) l’explique ainsi :

« L’encodage et l’échappement sont des techniques défensives destinées à arrêter les attaques par injection. »

Le manuel officiel de l’API WordPress l’explique ainsi  :

« Échapper à la sortie est le processus de sécurisation des données de sortie en supprimant les données indésirables, telles que les balises HTML ou de script mal formées.

Ce processus permet de sécuriser vos données avant de les restituer à l’utilisateur final.

Il est fortement recommandé aux utilisateurs du plugin de mettre immédiatement à jour leurs plugins vers la version 7.4.1

Lisez l’avis de sécurité sur Patchstack  :

Divulgation IDOR à PII non authentifiée dans le plugin WooCommerce Stripe Gateway

Image sélectionnée par Shutterstock/FedorAnisimov

FAQ

Qu'est-ce que le plugin Stripe pour Woocommerce ?

Le plugin Stripe est un outil conçu pour faciliter les paiements en ligne sur le site e-commerce Woocommerce. Il permet aux utilisateurs de recevoir des paiements sécurisés par carte bancaire de leurs clients directement sur leur boutique en ligne. Ce plugin propose également des fonctionnalités avancées telles que la gestion des remboursements et des abonnements, et peut être intégré facilement à d'autres extensions de Woocommerce.

Le plugin Stripe simplifie grandement les transactions financières pour les entreprises utilisant la plateforme Woocommerce.

Y a-t-il un plugin WordPress Woocommerce pour Stripe ?

Oui, il existe un plugin spécifique pour WordPress Woocommerce qui permet d'intégrer Stripe comme moyen de paiement sur votre site e-commerce. Ce plugin offre une intégration facile et sécurisée entre Woocommerce et Stripe, offrant ainsi une expérience de paiement fluide pour vos clients.

De plus, il est régulièrement mis à jour pour garantir le bon fonctionnement de votre boutique en ligne.

Existe-t-il des plugins de caisse pour l'utilisation de stripe avec Woocommerce ?

Oui, il existe des plugins de caisse spécialement conçus pour l'utilisation de Stripe avec Woocommerce. Ces extensions permettent d'intégrer facilement le système de paiement Stripe à votre boutique en ligne basée sur Woocommerce. Elles offrent une solution pratique et sécurisée pour accepter les paiements par carte bancaire sur votre site.

Vous pouvez trouver ces plugins sur la plateforme officielle de Woocommerce ou sur des sites spécialisés dans les extensions WordPress.

Comment utiliser stripe avec Woocommerce ?

Pour utiliser Stripe avec Woocommerce, il faut d'abord activer l'extension dans les paramètres de Woocommerce. Ensuite, il suffit de créer un compte sur Stripe et de le connecter à l'option de paiement dans les paramètres.

Une fois cela fait, les clients pourront sélectionner Stripe comme méthode de paiement lors du processus d'achat. Il est également possible de gérer les transactions et les remboursements directement depuis l'interface de Woocommerce.

Qu'offre le plugin de passerelle Stripe pour Woocommerce ?

Le plugin de passerelle Stripe pour Woocommerce offre une méthode de paiement sécurisée et facile d'utilisation pour les clients. Il permet également aux commerçants en ligne de gérer leurs transactions financières de manière efficace, avec des fonctionnalités telles que la gestion des remboursements et le suivi des commandes.

En outre, cette extension propose une intégration transparente avec les autres outils et plugins de Woocommerce, offrant ainsi une expérience utilisateur fluide et cohérente.

Categories: Digital

Lucie Blanchard

Lucie Blanchard

S’abonner
Notification pour
guest

Commentaires
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x