電商平臺技術社群Friends Of Presta指出,名為pkfacebook的付費外掛程式存在重大漏洞CVE-2024-36680,使得瀏覽電商網站的訪客有機會發動SQL注入攻擊,CVSS風險評為9.8分,影響1.0.1以前的版本。值得留意的是,這項漏洞已被積極利用,攻擊者藉此在電商平臺植入側錄工具,以便大規模竊取信用卡資料。
這項由Promokit.eu打造的電商平臺PrestaShop外掛程式,主要是供用戶直接使用臉書帳號與站方互動,留下評論,或是透過Messenger與客服進行溝通。然而,由於這項外掛程式是由該公司自行銷售,他們並未透露採用該外掛程式的網站數量,究竟有多少電商網站曝險,目前仍不得而知。
而對於這項漏洞發生的原因,Friends Of Presta社群指出,起因是此外掛程式當中的Ajax指令碼facebookConnect.php含有敏感的SQL呼叫功能,攻擊者可執行簡單的HTTP呼叫,利用漏洞來偽造SQL注入攻擊。
值得留意的是,攻擊者想要利用這項漏洞的難度不高,不需事先取得權限,且過程中無須使用者互動。攻擊者很有可能藉此得到管理員權限、清除與電商平臺PrestaShop有關的資料、覆寫SMTP組態來挾持電子郵件,甚至還能從敏感的資料表複製資料至前端,藉此曝露憑證並解開管理員的Ajax指令碼。
這項漏洞由雲端資安業者TouchWeb在3月底通報,但當研究人員聯絡開發廠商Promokit.eu,對方僅表示這是很久以前的事情,並不清楚那些版本的pkfacebook曝險,也不願提供研究人員最新版本,以便確認是否完成修補。
對此,Friends Of Presta呼籲網站管理者要儘速採取行動因應,這些措施包括:使用最新版本的pkfacebook,以及在網頁應用程式防火牆(WAF)啟動特定規則。
熱門新聞
2024-06-24
2024-06-21
2024-06-24
2024-06-26
2024-06-25
2024-06-26
