CVE-2023-3162: Lỗ hổng trong Plugin Stripe Payment cho WooC Commerce

Lỗ hổng nghiêm trọng CVE-2023-3162 (CVSS 9.8) cho phép kẻ tấn công không xác thực đăng nhập với tư cách người dùng bất kỳ đã đặt hàng.

Plugin Stripe Payment cho WooC Commerce (hơn 10.000 lượt cài đặt đang hoạt động) đã trở thành một phần không thể thiếu của cơ sở hạ tầng bán lẻ kỹ thuật số, cho phép các doanh nghiệp chấp nhận nhiều phương thức thanh toán khác nhau. Từ thẻ tín dụng và thẻ ghi nợ thông thường như Mastercard, Visa, American Express, Discover, JCB và Diners Club, đến các lựa chọn thay thế hiện đại như Alipay, Apple Pay, Google Pay, SEPA, Klarna, Afterpay/Clearpay, Sofort, iDEAL và WeChat Pay – tất cả các giao dịch được xử lý thông qua Stripe Payment Gateway.

Lỗ hổng CVE-2023-3162 xuất phát từ cách plugin xử lý xác thực người dùng trong quá trình Stripe checkout. Plugin không xác minh chính xác người dùng được cung cấp, điều này cho phép kẻ tấn công bỏ qua xác thực và đăng nhập với tư cách người dùng bất kỳ đã đặt hàng. Từ đó có thể xâm nhập các thông tin nhạy cảm như số thẻ tín dụng, lịch sử đặt hàng và chi tiết cá nhân. Ngoài ra, kẻ tấn công có thể sử dụng tài khoản của người dùng để thực hiện các giao dịch mua trái phép hoặc để giành quyền truy cập vào các khu vực nhạy cảm khác của trang web.

Để tự bảo vệ mình khỏi lỗ hổng, người dùng nên nâng cấp lên phiên bản mới nhất của Plugin Stripe Payment cho WooC Commerce (3.7.8 trở lên). Nếu không thể làm điều này ngay lập tức, bạn có thể tắt plugin cho đến khi có có thể nâng cấp. Ngoài ra, hãy sát sao trang web của bạn để phát hiện kịp thời các dấu hiệu hoạt động trái phép.

Nguồn: Security Online