Een kwetsbaarheid in een veelgebruikte betaalplug-in maakt het mogelijk om bij meer dan honderdduizend webwinkels de bestelgegevens van klanten op te vragen, waaronder hun e-mailadres, naam en adresgegevens. Twee weken geleden verscheen een update om het probleem te verhelpen, maar een aanzienlijk aantal webshops heeft die nog niet geïnstalleerd.

De webwinkels in kwestie maken gebruik van de WooCommerce Stripe Payment Gateway voor het afhandelen van betalingen. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan vijf miljoen WordPress-sites geïnstalleerd. Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder de Stripe Payment Gateway. Deze plug-in is zelf door WooCommerce ontwikkeld en draait op meer dan 900.000 webwinkels.

Een unauthenticated Insecure Direct Object Reference (IDOR) kwetsbaarheid in de plug-in maakt het mogelijk voor ongeauthenticeerde gebruikers om elke bestelling van de webshop te bekijken, inclusief de gegevens van klanten, zo ontdekte securitybedrijf Patchstack. IDOR-kwetsbaarheden doen zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor.

Ook de Stripe Payment Gateway blijkt niet goed te controleren of degene die de bestelgegevens opvraagt hiertoe wel bevoegd is. Op 31 mei kwam WooCommerce met versie 7.4.1 van de plug-in, waarin het probleem is verholpen. Die dag werd de nieuwste versie door 580.000 webshops gedownload. Sindsdien volgden er elke dag zo'n tienduizend nieuwe downloads. Dat zou echter inhouden dat minstens 180.000 webshops nog een kwetsbare versie van de plug-in draaien.