WooCommerce स्ट्राइप पेमेंट गेटवे प्लगइन को एक भेद्यता के रूप में खोजा गया था जो एक हमलावर को प्लगइन का उपयोग करके स्टोर से व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) चोरी करने की अनुमति देता है।
सुरक्षा शोधकर्ताओं ने चेतावनी दी है कि हैकर्स को शोषण को दूर करने के लिए प्रमाणीकरण की आवश्यकता नहीं है, जिसे 1-10 के पैमाने पर उच्च, 7.5 की रेटिंग प्राप्त हुई है।
WooCommerce धारी भुगतान गेटवे प्लगइन
WooCommerce, Automattic, WooThemes और अन्य योगदानकर्ताओं द्वारा विकसित स्ट्राइप पेमेंट गेटवे प्लगइन 900,000 से अधिक वेबसाइटों में स्थापित है।
यह WooCommerce स्टोर पर ग्राहकों के लिए कई अलग-अलग क्रेडिट कार्डों के साथ और बिना खाता खोले चेकआउट करने का एक आसान तरीका प्रदान करता है।
चेकआउट के समय एक स्ट्राइप खाता स्वचालित रूप से बनाया जाता है, जिससे ग्राहकों को घर्षण रहित ईकॉमर्स खरीदारी का अनुभव मिलता है।
प्लगइन एक एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) के माध्यम से काम करता है।
एक एपीआई दो सॉफ़्टवेयर के बीच एक पुल की तरह है जो WooCommerce स्टोर को स्ट्राइप सॉफ़्टवेयर के साथ इंटरैक्ट करने की अनुमति देता है ताकि वेबसाइट से स्ट्राइप को मूल रूप से ऑर्डर संसाधित किया जा सके।
WooCommerce धारी प्लगइन में भेद्यता क्या है?
पैचस्टैक के सुरक्षा शोधकर्ताओं ने भेद्यता की खोज की और जिम्मेदारी से संबंधित पक्षों को इसका खुलासा किया।
पैचस्टैक के सुरक्षा शोधकर्ताओं के अनुसार:
“यह प्लगइन एक अप्रमाणित असुरक्षित प्रत्यक्ष वस्तु संदर्भ (IDOR) भेद्यता से ग्रस्त है।
यह भेद्यता किसी भी अप्रमाणित उपयोगकर्ता को ईमेल, उपयोगकर्ता का नाम और पूरा पता सहित किसी भी WooCommerce ऑर्डर के PII डेटा को देखने की अनुमति देती है।
WooCommerce स्ट्राइप प्लगइन संस्करण प्रभावित
भेद्यता संस्करण 7.4.0 से पहले और उसके बराबर संस्करणों को प्रभावित करती है।
प्लगइन से जुड़े डेवलपर्स ने इसे 7.4.1 संस्करण में अपडेट किया, जो कि सबसे सुरक्षित संस्करण है।
आधिकारिक प्लगइन के अनुसार ये सुरक्षा अद्यतन किए गए थे चैंज:
- “फिक्स – ऑर्डर कुंजी सत्यापन जोड़ें।
- फिक्स – स्वच्छता जोड़ें और कुछ आउटपुट से बचें।
कुछ समस्याएँ हैं जिन्हें ठीक करने की आवश्यकता है।
पहला सत्यापन की कमी प्रतीत होता है, जो सामान्य रूप से एक अधिकृत इकाई द्वारा अनुरोध किए जाने पर सत्यापित करने के लिए एक चेक है।
अगला सैनिटाइजेशन है, जो किसी भी इनपुट को ब्लॉक करने की प्रक्रिया को संदर्भित करता है जो मान्य नहीं है। उदाहरण के लिए, यदि कोई इनपुट केवल टेक्स्ट की अनुमति देता है तो इसे इस तरह से सेट किया जाना चाहिए जो स्क्रिप्ट को अपलोड होने से रोकता हो।
चेंजलॉग में एस्केपिंग आउटपुट का उल्लेख है, जो अवांछित और दुर्भावनापूर्ण इनपुट को ब्लॉक करने का एक तरीका है।
गैर-लाभकारी सुरक्षा संगठन, ओपन वर्ल्डवाइड एप्लीकेशन सिक्योरिटी प्रोजेक्ट (OWASP) इसे इस तरह समझाता है:
“एन्कोडिंग और एस्केपिंग इंजेक्शन हमलों को रोकने के लिए रक्षात्मक तकनीकें हैं।”
आधिकारिक वर्डप्रेस एपीआई हैंडबुक इसे इस तरह समझाता है:
“आउटपुट से बचना अवांछित डेटा को हटाकर आउटपुट डेटा को सुरक्षित करने की प्रक्रिया है, जैसे विकृत HTML या स्क्रिप्ट टैग।
यह प्रक्रिया अंतिम उपयोगकर्ता के लिए इसे प्रस्तुत करने से पहले आपके डेटा को सुरक्षित रखने में मदद करती है।
यह अत्यधिक अनुशंसा की जाती है कि प्लगइन के उपयोगकर्ता तुरंत अपने प्लगइन्स को 7.4.1 संस्करण में अपडेट करें
पैचस्टैक पर सुरक्षा सलाहकार पढ़ें:
WooCommerce स्ट्राइप गेटवे प्लगइन में PII प्रकटीकरण के लिए अप्रमाणित IDOR
शटरस्टॉक/फेडरअनिसिमोव द्वारा प्रदर्शित छवि