Açık kaynaklı e-ticaret platformu PrestaShop, herhangi bir arka ofis kullanıcısının izinlerinden bağımsız olarak SQL veritabanlarını yazmasına, güncellemesine veya silmesine izin veren kritik öneme sahip bir güvenlik açığını gideren yeni bir sürüm yayınladı.
Arka ofis kullanıcıları, sahibi, yöneticileri, satış temsilcileri, müşteri destek temsilcileri, sipariş işlemcileri, veri giriş personeli ve diğerleri dahil olmak üzere web sitesinin idari arayüzüne erişimi olan kişilerdir.
Her kullanıcının izinleri, yalnızca rolleri için gerekli olan bilgilere ve özelliklere erişmelerine izin verilecek şekilde ayarlanmıştır, bu PrestaShop’un çok önemli bir güvenlik özelliğidir.
CVE-2023-30839 olarak izlenen kritik (CVSS v3.1 puanı: 9.9), izinlerinden bağımsız olarak herhangi bir kullanıcının çevrimiçi mağazanın veritabanında yetkisiz değişiklikler yapmasına izin vererek, potansiyel olarak etkilenen işletmelerde önemli hasara veya hizmet kesintisine neden olur.
Hafifletici özelliği olmayan kusur, 8.0.3 ve daha eski sürümlerden itibaren tüm PrestaShop kurulumlarını etkiliyor.
Güvenlik açığı bulunan sitede bir kullanıcı hesabına sahip olma ihtiyacı, güvenlik açığını bir şekilde azaltsa da, çevrimiçi mağazaların genellikle siparişleri işlemek için büyük ekipler çalıştırdığı düşünülürse, kusur, hilekar veya hoşnutsuz çalışanların zarar vermesine izin verme riskini beraberinde getirir.
Ayrıca, artık PrestaShop tabanlı e-ticaret sitelerindeki herhangi bir kullanıcı hesabını tehlikeye atabilen ve potansiyel olarak kötü amaçlı kod ve arka kapılar enjekte edebilen veya SQL veritabanına erişim elde edebilen bilgisayar korsanları için daha geniş bir saldırı yüzeyi açar.
Web sitesi veritabanları aracılığıyla arka kapı enjeksiyonları, Sucuri’nin yakın zamanda bildirdiği gizli bir saldırı taktiğidir ve çoğunlukla WordPress sitelerini hedef alarak vahşi ortamda ilgi görmektedir.
Yazılım satıcısı, dün yayınlanan 8.0.4 ve 1.7.8.9 sürümleriyle bu sorunu ele aldı ve tüm PrestaShop web sitesi sahiplerine mümkün olan en kısa sürede yükseltme yapmaları önerilir.
Açık kaynaklı e-ticaret platformu, en son sürümünde CVE-2023-30535 (CVSS v3.1: 7.7, “yüksek”) ve CVE-2023-30838 (CVSS v3.1: 8.0) olmak üzere iki güvenlik açığı daha düzeltti. , “yüksek”).
İlki, yetkisiz kullanıcıların kritik bilgilere erişimini sağlayan keyfi bir dosya okuma sorunudur. İkincisi, sitedeki her HTML öğesini ele geçirebilen ve etkileşim olmadan tetiklenen bir XSS enjeksiyon sorunudur.
Bilgisayar korsanları her zaman PrestaShop gibi büyük platformlarda güvenlik açıkları aradıklarından, mevcut güvenlik güncellemelerini mümkün olan en kısa sürede uygulamak çok önemlidir.
Temmuz 2022’de e-ticaret çözümü satıcısı, bilgisayar korsanlarının PrestaShop tabanlı sitelerde SQL enjeksiyonları gerçekleştirmek için sıfır gün güvenlik açığından yararlanarak platformu hedef aldığı konusunda kullanıcılarını acilen uyardı.