CVSS puanı 9,9 olan kusurları kullanarak PrestaShop tabanlı e-Ticaret web sitelerini hackleme


Hızlı tempolu modern dünya, çevrimiçi alışverişi ve satışı günlük hayatımızın temel bir bileşeni haline getirdi. PrestaShop, hızlı gelişimi ve artan popülaritesi sayesinde kendisini önde gelen Açık Kaynak e-Ticaret web uygulaması olarak ayırdı. Hem tüccarlar hem de tüketiciler için harika bir alışveriş sepeti deneyimi sunar. Şu an itibariyle, tüm dünyada yaklaşık 300.000 çevrimiçi işletme, ticari gereksinimleri için PrestaShop’a güveniyor.

Öte yandan, güvenlik kusurları her tür yazılımda her zaman bir olasılıktır. Yakın zamanda PrestaShop’ta güvenlik açıkları bulundu ve bunların üçü de çevrimiçi işinizi etkileme potansiyeline sahip.

CVE-2023-30839

CVE-2023-30839 Olarak da Bilinen Rastgele Yazma İsteklerine Yol Açabilecek SQL Filtresi Atlaması
Bu güvenlik açığına, kritik olduğunu gösteren CVSS ölçeğinde 9,9 puan verilmiştir. Arka ofisteki bir kullanıcı, bu özellik sayesinde gerekli haklara sahip olmasa bile veritabanına veri yazabilir, düzenleyebilir ve kaldırabilir. Bu, çevrimiçi mağazanızda saklanan verilerde şirketinize büyük zarar verebilecek yetkisiz değişikliklerin yapılmasına neden olabilir. Bu güvenlik kusurunun düzeltmesi, yayınlandıklarında PrestaShop 8.0.4 ve 1.7.8.9 sürümlerine dahil edilecektir.

Ne yazık ki, geçici çözüm olarak kullanılabilecek CVE-2023-30839 sorununu aşmanın bir yolu yoktur. Bunu yapmak için bir yama kullanıma sunulur sunulmaz PrestaShop kurulumunuzu yükseltmeniz çok önemlidir.

Rastgele Dosya Okuma, CVE-2023-30545 olarak da bilinir
Bu güvenlik açığına CVSS’de 7,7 puan verildi ve bu da yüksek risk oluşturduğunu gösteriyor. Bu güvenlik açığından, SQL Yöneticisi’ne erişimi olan bir kişi, LOAD_FILE SQL işlevini bir SELECT isteğiyle birlikte kullanarak işletim sistemindeki herhangi bir dosyayı okumak için yararlanabilir. Bu, veritabanı parolaları, şifreleme anahtarları veya diğer önemli dosyalar gibi hassas bilgilere yetkisiz erişim sağlanmasına neden olabilir. Bu güvenlik kusurunun düzeltmesi, kullanıma sunulduğunda PrestaShop sürüm 8.0.4 ve sürüm 1.7.8.9’a dahil edilecektir.

Bir CVE-2023-30838 Güvenlik Açığı olan Validate::isCleanHTML Yöntemiyle XSS Enjeksiyonu
Bu güvenlik açığı için CVSS puanı 8.0’dır ve bu da yüksek risk oluşturduğunu gösterir. ValidateCore::isCleanHTML() işlevi kaçırılabilir olayları yakalayamadığı için ortaya çıkar, bu da XSS enjeksiyonunun gerçekleşmesini mümkün kılar. Güvenlik açığı, kullanıcıdan herhangi bir giriş gerektirmeden herhangi bir HTML öğesini ele geçirebileceği ve bu da bir saldırının başarılı olma olasılığını artırabileceği için özellikle tehlikelidir. Bu güvenlik kusurunun düzeltmesi, yayınlandıklarında PrestaShop 8.0.4 ve 1.7.8.9 sürümlerine dahil edilecektir.

Online mağazanızın güvenliğinin sağlanması son derece önemlidir. Tüketicilerinize güvenli bir çevrimiçi alışveriş deneyimi sağlamak için güvenlik açıklarından haberdar olmanız ve bunları düzeltmek için gerekli önlemleri almanız çok önemlidir. PrestaShop kurulumunuzu en son sürümlerle (8.0.4 veya 1.7.8.9) güncelleyerek, şirketinizi bu güvenlik açıklarından koruyabilir ve tüketicilere tutarlı, sorunsuz ve sorunsuz bir hizmet sunmaya devam ettiğinizden emin olabilirsiniz. güvenilir.



Source link