NCSA Webboard
    • ล่าสุด
    • แท็ก
    • ฮิต
      • ติดต่อสำนักงาน
    • ลงทะเบียน
    • เข้าสู่ระบบ

    ช่องโหว่ที่สำคัญในโมดูล Facebook PrestaShop

    Cyber Security News
    2
    1
    45
    โหลดโพสเพิ่มเติม
    • เก่าสุดไปยังใหม่สุด
    • ใหม่สุดไปยังเก่าสุด
    • Most Votes
    ตอบ
    • ตอบโดยตั้งกระทู้ใหม่
    เข้าสู่ระบบเพื่อตอบกลับ
    Topic นี้ถูกลบไปแล้ว เฉพาะผู้ใช้งานที่มีสิทธิ์ในการจัดการ Topic เท่านั้นที่จะมีสิทธิ์ในการเข้าชม
    • NCSA_THAICERTN
      NCSA_THAICERT
      แก้ไขล่าสุดโดย NCSA_THAICERT

      Cyber Security Agency of Singapore (CSA)ได้เผยแพร่เกี่ยวกับนักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ร้ายแรง ที่หมายเลข CVE-2024-36680 ที่เกี่ยวข้องกับโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ชื่อ pkfacebook ช่องโหว่ดังกล่าวมีคะแนน CVSSv 9.8 รหัสการหาประโยชน์แบบพิสูจน์แนวคิดที่กำหนดเป้าหมายไปที่ช่องโหว่นี้เปิดเผยต่อสาธารณะและมีรายงานว่ามีการใช้ประโยชน์อย่างแข็งขันเพื่อปรับใช้เว็บสกิมเมอร์ ซึ่งออกแบบมาเพื่อขโมย ข้อมูลบัตรเครดิตจากลูกค้าที่ไม่สงสัย

      การใช้ประโยชน์จากช่องโหว่การแทรก SQL ในสคริปต์ facebookConnect.php Ajax ของ pkfacebook ช่วยให้ผู้โจมตีจากระยะไกลสามารถปลอมแปลงการโจมตีการแทรก SQL และเข้าถึงฐานข้อมูล PrestaShop ที่เกี่ยวข้องโดยไม่ได้รับอนุญาต ซึ่งช่องโหว่นี้มีผลกับทุกเวอร์ชันก่อนหน้า 1.0.1 เนื่องจากทุกเวอร์ชันได้รับการพิจารณาว่าอาจได้รับผลกระทบ เราขอแนะนำให้ผู้ใช้และผู้ดูแลระบบของเว็บไซต์ PrestaShop

      แนะนำอัปเดตเป็น pkfacebook เวอร์ชันล่าสุด ซึ่งจะปิดใช้งานการดำเนินการหลายคำค้นหาตรวจสอบให้แน่ใจว่า มีการใช้ pSQL เพื่อหลีกเลี่ยงช่องโหว่ Stored XSS เนื่องจากมีฟังก์ชัน strip_tags เพื่อเพิ่มความปลอดภัยแก้ไขคำนำหน้า " ps_ " เริ่มต้นให้ยาวขึ้นตามต้องการเพื่อปรับปรุงความปลอดภัยเปิดใช้งาน กฎ OWASP 942 บน Web Application Firewall (WAF)

      อ้างอิง
      https://www.csa.gov.sg/alerts-advisories/alerts/2024/al-2024-074

      สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand 2ee2b0b1-b35b-4b59-ac38-ae626bbd90a5-image.png

      1 การตอบกลับ คำตอบล่าสุด ตอบ คำอ้างอิง 0
      • First post
        Last post