PrestaShop Web Sitesi Facebook Modülü Aracılığıyla Enjeksiyon Saldırısı Altında


PrestaShop için Promokit.eu’nun “Facebook” modülünde (pkfacebook) kritik bir güvenlik açığı keşfedildi.

CVE-2024-36680 güvenlik açığı, bir misafirin etkilenen modül sürümleri üzerinde SQL enjeksiyon saldırıları gerçekleştirmesine olanak tanır.

Güvenlik açığı, önemsiz bir HTTP çağrısıyla yürütülebilen hassas bir SQL çağrısı içeren Ajax komut dosyasından kaynaklanıyor.

Saldırganlar, SQL enjeksiyon saldırıları düzenlemek ve ilgili PrestaShop veritabanına yetkisiz erişim elde etmek için bu güvenlik açığından yararlanabilir.

Modülün yazarı Promokit.eu’ya göre, uzun zaman önce ortaya çıktığı için bu güvenlik açığından etkilenen tam sürümler bilinmiyor.

Yazar, güvenlik araştırmacılarının sorunun tamamen çözülüp çözülmediğini doğrulayabilmesi için en son sürümü sağlamayı reddetti.

Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan

Bir önlem olarak, tüm modül sürümlerinin potansiyel olarak savunmasız olduğu düşünülmelidir.

Aktif Kullanım ve Uyarılar

Endişe verici bir şekilde, kötü niyetli aktörler, şüphelenmeyen müşterilerden kredi kartı bilgilerini çalmak üzere tasarlanmış web skimmer’ları dağıtmak için bu istismarı aktif olarak kullanıyor.

PrestaShop web sitesi sahiplerine, veri hırsızlığı ve yetkisiz erişim riskini azaltmak için derhal harekete geçmeleri tavsiye edilir.

Azaltma ve Öneriler

PrestaShop kurulumlarını bu güvenlik açığından korumak için pkfacebook modülünün en son sürümüne yükseltme yapılması önemle tavsiye edilir.

PrestaShop kullanıcıları ayrıca aşağıdaki güvenlik önlemlerini de dikkate almalıdır:

  1. Çoklu sorgu yürütmelerini devre dışı bırakmak ve genel güvenliği artırmak için PrestaShop’u en son sürüme yükseltin.
  2. Şunlardan emin olun: pSQL Saklanan XSS güvenlik açıklarına karşı koruma sağlamak için uygun şekilde uygulanan işlevi içerir.
  3. Varsayılan veritabanı önekini değiştirme ps_ Saldırganların tahmin etmesini zorlaştırmak için daha uzun ve rastgele bir önek kullanın.
  4. OWASP 942’nin Web Uygulama Güvenlik Duvarı (WAF) üzerindeki kuralları, arka ofis işlevleriyle ilgili potansiyel çatışmaların farkında olarak güvenliği daha da güçlendirmek için etkinleştirilecektir.

PrestaShop web sitesi sahiplerine, bu kritik güvenlik açığını hızla gidermeleri ve çevrimiçi mağazalarını korumak ve müşteri verilerini olası ihlallerden korumak için önerilen güvenlik önlemlerini uygulamaları tavsiye edilir.

Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free



Source link