黑客正在利用 PrestaShop的Facebook 模块 pkfacebook 中的漏洞,在易受攻击的电子商务网站上窃取人们的信用卡详细信息。
PrestaShop 是一个开源电子商务平台,截至 2024 年,全球约有 300,000 家在线商店使用该平台。
Promokit 的pkfacebook 插件是一个模块,允许商店访客使用他们的 Facebook 帐户登录,在商店页面下发表评论,并使用 Messenger 与支持代理进行沟通。
Promokit 在 Envato 市场上的销售量超过12,500 份,但 Facebook 模块仅通过其独立网站销售,没有提供销售数量的信息。
该严重漏洞编号为CVE-2024-36680,是 pkfacebook 的 facebookConnect.php Ajax 脚本中的一个 SQL 注入漏洞,允许远程攻击者使用 HTTP 请求触发 SQL 注入。
TouchWeb 的分析师于 2024 年 3 月 30 日发现了该漏洞,但 Promokit.eu 表示该漏洞“很久以前”就已修复,但未提供任何证据。
本周早些时候,Friends-of-Presta 发布了针对 CVE-2024-36680 的概念验证漏洞,并警告说,他们发现该漏洞正在被广泛利用。
Friends-Of-Presta表示:“该漏洞被用来部署网络盗取器,大规模窃取信用卡信息。”
不幸的是,开发人员尚未与 Friends-of-Presta 分享最新版本以确认该缺陷是否已修复。
Friends-Of-Presta 指出所有版本都应被视为可能受到影响,并建议采取以下缓解措施:
升级到最新的 pkfacebook 版本,该版本会禁用多查询执行,即使它不能使用 UNION 子句来防止 SQL 注入。
确保使用 pSQL 来避免存储型 XSS 漏洞,因为它包含一个 strip_tags 函数来增加安全性。
将默认的“ps_”前缀修改为更长的任意前缀以提高安全性,但此措施对于高技能的攻击者来说并非万无一失。
在 Web 应用程序防火墙 (WAF) 上激活 OWASP 942 规则。
NVD 的 CVE-2024-36680 列表显示 1.0.1 及更早版本的所有版本都存在漏洞。但是,Promokit 网站上列出的最新版本是 1.0.0,因此补丁的可用性状态尚不清楚。
黑客密切监视影响网店平台的 SQL 注入漏洞,因为这些漏洞可用于获取管理权限、访问或修改网站上的数据、提取数据库内容以及重写 SMTP 设置以劫持电子邮件。
大约两年前,PrestaShop 发布了紧急警告和修补程序,以防范针对易受 SQL 注入攻击的模块在目标网站上执行代码的攻击。