مهاجمان از یک نقص امنیتی ناشناخته در پلتفرم متن باز و رایگان فروشگاهساز PrestaShop که جهت تزریق کد اسکیمر مخرب و سرقت اطلاعات حساس طراحی شده است، استفاده میکنند.
جزئیات آسیبپذیری
این #آسیبپذیری با شناسه CVE-2022-36408 به مهاجم اجازه خواهد داد تا از راه دور حملات خود را از طریق تزریق کد SQL انجام دهد. گفتنی است از آسیبپذیری مذکور در ماه جولای 2022 مورد بهرهبرداری قرار گرفت.
بهرهبرداری موفق از این نقص امنیتی مهاجم را قادر به ارسال درخواستی میکند که امکان اجرای دستورالعملهای دلخواه را با اهدافی همچون جمعآوری اطلاعات کارت بانکی از طریق درگاه پرداخت جعلی به او خواهد داد؛ در واقع در این حملات، مهاجمان کد مخربی را تزریق میکنند که قادر به سرقت اطلاعات کارت وارد شده توسط مشتریان در صفحه پرداخت اینترنتی است. به نظر میرسد فروشگاههایی که از نسخههای قدیمی پرستاشاپ یا ماژولهای آسیبپذیر استفاده میکنند، اهداف اصلی مهاجمان هستند.
شرکت توسعهدهنده PrestaShop اظهار داشت که مهاجمان راهی برای استفاده از یک آسیبپذیری امنیتی در این پلتفرم برای اجرای کد دلخواه در سرورهایی که وب سایتهای PrestaShop را اجرا میکنند، یافتهاند.
پرستاشاپ یک پلتفرم فروشگاهساز رایگان است، که به کسب و کارهای کوچک و بزرگ کمک میکند تا یک فروشگاه آنلاین موفق را ایجاد و اجرا نمایند، این پلتفرم متن باز یا Open Source میباشد که بر اساس زبان برنامه نویسی php و پایگاه داده mySQL طراحی شده است. در حال حاضر نزدیک به 300.000 سایت فروشگاهی در سراسر جهان و 6000 فروشگاه در ایران از این پلتفرم استفاده میکنند. شایان ذکر است که حملات ناشی از این آسیبپذیری حداقل 311 رستوران را نیز در معرض خطر قرار داده است.
محصولات تحت تأثیر
این آسیبپذیری بر نسخههای 1.6.0.10 تا 1.7 (قبل از 1.7.8.2) پلتفرم PrestaShop تأثیر میگذارد.
توصیههای امنیتی
شرکت PrestaShop نقص امنیتی مذکور را در نسخه 1.7.8.7 پلتفرم PrestaShop رفع کرد و خاطر نشان شد این وصله امنیتی، حافظه کَش MySQL Smarty را در برابر حملات تزریق کد مقاوم میکند.
منابع خبر:
https://build.prestashop.com/news/major-security-vulnerability-on-prestashop-websites/
https://nvd.nist.gov/vuln/detail/CVE-2022-36408
- 103