آسیب‌پذیری روز صفر در پلتفرم فروشگاه‌ساز PrestaShop

آسیب‌پذیری روز صفر در پلتفرم فروشگاه‌ساز PrestaShop

تاریخ ایجاد

مهاجمان از یک نقص امنیتی ناشناخته در پلتفرم متن باز و رایگان فروشگاه‌ساز PrestaShop که جهت تزریق کد اسکیمر مخرب و سرقت اطلاعات حساس طراحی شده است، استفاده می‌کنند.

جزئیات آسیب‌پذیری
این #‫آسیب‌پذیری با شناسه CVE-2022-36408 به مهاجم اجازه خواهد داد تا از راه دور حملات خود را از طریق تزریق کد SQL انجام دهد. گفتنی است از آسیب‌پذیری مذکور در ماه جولای 2022 مورد بهره‌برداری قرار گرفت.
بهره‌برداری موفق از این نقص امنیتی مهاجم را قادر به ارسال درخواستی می‌کند که امکان اجرای دستورالعمل‌های دلخواه را با اهدافی همچون جمع‌آوری اطلاعات کارت بانکی از طریق درگاه پرداخت جعلی به او خواهد داد؛ در واقع در این حملات، مهاجمان کد مخربی را تزریق می‌کنند که قادر به سرقت اطلاعات کارت وارد شده توسط مشتریان در صفحه پرداخت اینترنتی است. به نظر می‌رسد فروشگاه‌هایی که از نسخه‌های قدیمی پرستاشاپ یا ماژول‌های آسیب‌پذیر استفاده می‌کنند، اهداف اصلی مهاجمان هستند.
شرکت توسعه‌دهنده PrestaShop اظهار داشت که مهاجمان راهی برای استفاده از یک آسیب‌پذیری امنیتی در این پلتفرم برای اجرای کد دلخواه در سرورهایی که وب سایت‌های PrestaShop را اجرا می‌کنند، یافته‌اند.
پرستاشاپ یک پلتفرم فروشگاه‌ساز رایگان است، که به کسب و کارهای کوچک و بزرگ کمک می‌کند تا یک فروشگاه آنلاین موفق را ایجاد و اجرا نمایند، این پلتفرم متن باز یا Open Source می‌باشد که بر اساس زبان برنامه نویسی php و پایگاه داده mySQL طراحی شده است. در حال حاضر نزدیک به 300.000 سایت فروشگاهی در سراسر جهان و 6000 فروشگاه در ایران از این پلتفرم استفاده می‌کنند. شایان ذکر است که حملات ناشی از این آسیب‌پذیری حداقل 311 رستوران را نیز در معرض خطر قرار داده است.

محصولات تحت تأثیر
این آسیب‌پذیری بر نسخه‌های 1.6.0.10 تا 1.7 (قبل از 1.7.8.2) پلتفرم PrestaShop تأثیر می‌گذارد.

توصیه‌های امنیتی
شرکت PrestaShop نقص امنیتی مذکور را در نسخه 1.7.8.7 پلتفرم PrestaShop رفع کرد و خاطر نشان شد این وصله امنیتی، حافظه کَش MySQL Smarty را در برابر حملات تزریق کد مقاوم می‌کند.
منابع خبر:

https://build.prestashop.com/news/major-security-vulnerability-on-prestashop-websites/
https://nvd.nist.gov/vuln/detail/CVE-2022-36408