Η πλατφόρμα ηλεκτρονικού εμπορίου ανοιχτού κώδικα PrestaShop κυκλοφόρησε μια νέα έκδοση που αντιμετωπίζει μια ευπάθεια κρίσιμης σοβαρότητας που επιτρέπει σε κάθε χρήστη του back-office να γράφει, να ενημερώνει ή να διαγράφει βάσεις δεδομένων SQL ανεξάρτητα από τις άδειές του.
Οι χρήστες back-office είναι αυτοί που έχουν πρόσβαση στο administrative interface του ιστότοπου, συμπεριλαμβανομένου του ιδιοκτήτη, των διαχειριστών, των αντιπροσώπων πωλήσεων, των πρακτόρων υποστήριξης πελατών, των διεκπεραιωτών παραγγελιών, του προσωπικού εισαγωγής δεδομένων και άλλων.
Τα δικαιώματα κάθε χρήστη έχουν ρυθμιστεί έτσι ώστε να του επιτρέπεται μόνο η πρόσβαση στις πληροφορίες και τις λειτουργίες που είναι απαραίτητες για τον ρόλο του, κάτι που είναι ένα κρίσιμο χαρακτηριστικό ασφαλείας του PrestaShop.
Δείτε επίσης: Evasive Panda: Χρησιμοποιεί MgBot malware για να στοχεύσει διεθνείς ΜΚΟ στην Κίνα
Το σφάλμα CVE-2023-30839 με κρίσιμη (βαθμολογία CVSS v3.1: 9,9) επιτρέπει σε οποιονδήποτε χρήστη, ανεξάρτητα από τις άδειές του, να πραγματοποιεί μη εξουσιοδοτημένες τροποποιήσεις στη βάση δεδομένων του ηλεκτρονικού καταστήματος, προκαλώντας δυνητικά σημαντική ζημιά ή διακοπές λειτουργίας στις επιχειρήσεις που επηρεάζονται.
Το ελάττωμα, το οποίο δεν έχει mitigation, επηρεάζει όλα τα PrestaShop installations από την έκδοση 8.0.3 και παλαιότερες.
Ενώ η ανάγκη να υπάρχει user account στον ευάλωτο ιστότοπο μετριάζει κάπως την ευπάθεια, λαμβάνοντας υπόψη ότι τα ηλεκτρονικά καταστήματα συχνά χρησιμοποιούν μεγάλες ομάδες για να χειρίζονται παραγγελίες, το ελάττωμα εγκυμονεί τον κίνδυνο να επιτρέψει σε απατεώνες ή δυσαρεστημένους υπαλλήλους να προκαλέσουν ζημιά.
Επιπλέον, ανοίγει ένα μεγαλύτερο attack surface για τους χάκερ, οι οποίοι μπορούν πλέον να παραβιάσουν οποιονδήποτε λογαριασμό χρήστη σε ιστότοπους ηλεκτρονικού εμπορίου που βασίζονται στο PrestaShop και ενδεχομένως να εισάγουν κακόβουλο κώδικα και backdoors ή να αποκτήσουν πρόσβαση στη βάση δεδομένων SQL.
Τα backdoor injections μέσω βάσεων δεδομένων ιστότοπων είναι μια μυστική τακτική επίθεσης που η Sucuri ανέφερε πρόσφατα ότι κερδίζει την προσοχή των χάκερ, στοχεύοντας κυρίως ιστότοπους WordPress.
Ο προμηθευτής λογισμικού το αντιμετώπισε με την κυκλοφορία των εκδόσεων 8.0.4 και 1.7.8.9, που κυκλοφόρησαν χθες, στην οποία συνιστάται σε όλους τους κατόχους ιστοτόπων του PrestaShop να αναβαθμίσουν το συντομότερο δυνατό.
Η πλατφόρμα ηλεκτρονικού εμπορίου ανοιχτού κώδικα έχει επίσης διορθώσει δύο άλλες ευπάθειες στην τελευταία της έκδοση, συγκεκριμένα το CVE-2023-30535 (CVSS v3.1: 7.7, “υψηλός κίνδυνος”) και το CVE-2023-30838 (CVSS v3.1: 8.0 , “υψηλός κίνδυνος”).
Δείτε επίσης: Η Cisco αποκαλύπτει XSS zero-day ευπάθεια στο εργαλείο server management
Το πρώτο είναι ένα αυθαίρετο πρόβλημα ανάγνωσης αρχείων που παρέχει πρόσβαση σε μη εξουσιοδοτημένους χρήστες σε κρίσιμες πληροφορίες. Το δεύτερο είναι ένα ζήτημα XSS injection που μπορεί να παραβιάσει κάθε HTML element στον ιστότοπο και ενεργοποιείται χωρίς αλληλεπίδραση.
Είναι σημαντικό να εφαρμόζετε τις διαθέσιμες ενημερώσεις ασφαλείας το συντομότερο δυνατό, καθώς οι χάκερ αναζητούν πάντα ευπάθειες σε μεγάλες πλατφόρμες όπως το PrestaShop.
Δείτε επίσης: Ουκρανός πούλησε δεδομένα 300 εκατομμυρίων πολιτών σε Ρώσους
Τον Ιούλιο του 2022, ο προμηθευτής λύσεων ηλεκτρονικού εμπορίου προειδοποίησε τους χρήστες του ότι οι χάκερ στόχευσαν την πλατφόρμα αξιοποιώντας μια ευπάθεια zero-day για να πραγματοποιήσουν SQL injections σε PrestaShop-based sites.
Πηγή πληροφοριών: bleepingcomputer.com
