fitA
黑客正在利用 PrestaShop 的名为 pkfacebook 的高级 Facebook 模块中的缺陷,在易受攻击的电子商务网站上部署卡片窃取器,并窃取人们的支付信用卡详细信息。
PrestaShop 是一个开源电子商务平台,允许个人和企业创建和管理在线商店。截至 2024 年,全球约有 300,000 家在线商店使用它。
Promokit 的 pkfacebook 插件是一个模块,允许商店访客使用 Facebook 帐户登录、在商店页面下留下评论以及使用 Messenger 与支持代理进行沟通。
Promokit 在 Envato 市场上的销量超过 12,500 件,但 Facebook 模块仅通过供应商网站销售,没有销售数量详细信息。
该严重缺陷(编号为 CVE-2024-36680)是 pkfacebook 的 facebookConnect.php Ajax 脚本中的 SQL 注入漏洞,允许远程攻击者使用 HTTP 请求触发 SQL 注入。
TouchWeb 的分析师于 2024 年 3 月 30 日发现了该缺陷,但 Promokit.eu 表示该缺陷“很久以前”就已修复,但没有提供任何证据。
本周早些时候,Friends-of-Presta 发布了 CVE-2024-36680 的概念验证漏洞,并警告称他们发现该漏洞正在被积极利用。
Friends-Of-Presta 表示:“此漏洞被积极用于部署网络浏览器来大规模窃取信用卡。”
不幸的是,开发人员尚未与 Friends-of-Presta 分享最新版本来确认该缺陷是否已修复。
Friends-Of-Presta 指出,所有版本都应被视为可能受到影响,并建议采取以下缓解措施:
- 升级到最新的 pkfacebook 版本,该版本会禁用多查询执行,即使它不能防止使用 UNION 子句的 SQL 注入。
- 确保使用 pSQL 来避免存储型 XSS 漏洞,因为它包含 strip_tags 函数以提高安全性。
- 将默认的“ps_”前缀修改为更长的任意前缀以提高安全性,尽管这一措施对于高技术攻击者来说并不是万无一失的。
- 在 Web 应用程序防火墙 (WAF) 上激活 OWASP 942 规则。
NVD 的 CVE-2024-36680 列表确定 1.0.1 及更早版本的所有版本都容易受到攻击。不过,Promokit 网站上列出的最新版本是 1.0.0,因此补丁可用性状态尚不清楚。
黑客密切监视影响网上商店平台的 SQL 注入缺陷,因为这些缺陷可用于获取管理权限、访问或修改网站上的数据、提取数据库内容以及重写 SMTP 设置以劫持电子邮件。
大约两年前,PrestaShop 针对易受 SQL 注入攻击的模块发出了紧急警告和修补程序,以在目标站点上实现代码执行。
