Bypass de validação de assinatura de webhook do Stripe em mais de 1.5K aplicativos web

Pesquisadores da SecurityScanner.dev descobriram que 1.542 de aproximadamente 6.000 aplicativos web testados aceitavam eventos forjados do webhook do Stripe sem o cabeçalho Stripe-Signature. O problema afetava endpoints que confiavam na estrutura do evento em vez de verificar a assinatura com o segredo de assinatura do webhook.

Nenhuma autenticação ou privilégios especiais são necessários: qualquer cliente de internet pode enviar um payload JSON fake checkout.session.completed que imita um evento legítimo do Stripe. Se o backend confiar nesse payload, ele pode acionar ações de lógica de negócios, como marcar um pedido como pago, ativar uma assinatura ou conceder acesso a recursos pagos.

📎 Artigo: https://securityscanner.dev/blog/stripe-webhook-signature-bypass-1500-apps

💬 Discutir