WooCommerce Stripe Payment Gateway <= 7.4.0 - Unauthenticated Insecure Direct Object Reference to Sensitive Information Disclosure

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin WooCommerce Stripe Payment Gateway, que permite la divulgación no autenticada de información sensible. Esta falla afecta a las versiones hasta la 7.4.0 y presenta un CVSS de 7.5, lo que indica un alto nivel de severidad.

Contexto técnico

La vulnerabilidad se clasifica como una referencia directa a objetos insegura (IDOR), lo que permite a un atacante acceder a información sensible sin necesidad de autenticación. Esta debilidad se encuentra en el manejo de ciertos parámetros que no están debidamente protegidos, exponiendo datos críticos.

Impacto potencial

La explotación de esta vulnerabilidad podría resultar en la exposición de información sensible de los usuarios, lo que podría comprometer la privacidad y la seguridad de los datos. Esto no solo afecta la confianza del cliente, sino que también puede acarrear sanciones legales y daños a la reputación de la empresa.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes manipuladas a la API del plugin, lo que les permite acceder a datos sensibles sin autenticación previa.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin WooCommerce Stripe Payment Gateway a la versión 5.5.1 o superior. Además, se sugiere revisar las configuraciones de seguridad y aplicar prácticas de hardening en la gestión de datos sensibles.

Señales de detección

Se deben monitorizar los registros de acceso y detectar patrones inusuales de solicitudes a la API del plugin que puedan indicar intentos de explotación. También es recomendable implementar alertas para accesos no autorizados.

Alcance afectado

Las versiones del plugin WooCommerce Stripe Payment Gateway hasta la 7.4.0 están afectadas. Las instalaciones que no han actualizado a la versión 5.5.1 o posterior son vulnerables.