ช่องโหว่ที่สำคัญในโมดูล Facebook PrestaShop
-
Cyber Security Agency of Singapore (CSA)ได้เผยแพร่เกี่ยวกับนักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ร้ายแรง ที่หมายเลข CVE-2024-36680 ที่เกี่ยวข้องกับโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ชื่อ pkfacebook ช่องโหว่ดังกล่าวมีคะแนน CVSSv 9.8 รหัสการหาประโยชน์แบบพิสูจน์แนวคิดที่กำหนดเป้าหมายไปที่ช่องโหว่นี้เปิดเผยต่อสาธารณะและมีรายงานว่ามีการใช้ประโยชน์อย่างแข็งขันเพื่อปรับใช้เว็บสกิมเมอร์ ซึ่งออกแบบมาเพื่อขโมย ข้อมูลบัตรเครดิตจากลูกค้าที่ไม่สงสัย
การใช้ประโยชน์จากช่องโหว่การแทรก SQL ในสคริปต์ facebookConnect.php Ajax ของ pkfacebook ช่วยให้ผู้โจมตีจากระยะไกลสามารถปลอมแปลงการโจมตีการแทรก SQL และเข้าถึงฐานข้อมูล PrestaShop ที่เกี่ยวข้องโดยไม่ได้รับอนุญาต ซึ่งช่องโหว่นี้มีผลกับทุกเวอร์ชันก่อนหน้า 1.0.1 เนื่องจากทุกเวอร์ชันได้รับการพิจารณาว่าอาจได้รับผลกระทบ เราขอแนะนำให้ผู้ใช้และผู้ดูแลระบบของเว็บไซต์ PrestaShop
แนะนำอัปเดตเป็น pkfacebook เวอร์ชันล่าสุด ซึ่งจะปิดใช้งานการดำเนินการหลายคำค้นหาตรวจสอบให้แน่ใจว่า มีการใช้ pSQL เพื่อหลีกเลี่ยงช่องโหว่ Stored XSS เนื่องจากมีฟังก์ชัน strip_tags เพื่อเพิ่มความปลอดภัยแก้ไขคำนำหน้า " ps_ " เริ่มต้นให้ยาวขึ้นตามต้องการเพื่อปรับปรุงความปลอดภัยเปิดใช้งาน กฎ OWASP 942 บน Web Application Firewall (WAF)
อ้างอิง
https://www.csa.gov.sg/alerts-advisories/alerts/2024/al-2024-074สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand
