オープンソースの e コマース プラットフォームである PrestaShop は、バックオフィス ユーザーが権限に関係なく SQL データベースを書き込み、更新、または削除できるようにする重大な脆弱性に対処する新しいバージョンをリリースしました。
バックオフィス ユーザーは、所有者、管理者、営業担当者、顧客サポート エージェント、注文処理担当者、データ入力スタッフなど、Web サイトの管理インターフェイスにアクセスできるユーザーです。
各ユーザーの権限は、PrestaShop の重要なセキュリティ機能である、役割に必要な情報と機能にのみアクセスできるように設定されています。
CVE-2023-30839として追跡されているクリティカル (CVSS v3.1 スコア: 9.9) は、権限に関係なく、すべてのユーザーがオンライン ストアのデータベースで不正な変更を実行できるようにし、影響を受けるビジネスに重大な損害やサービス停止を引き起こす可能性があります。
この脆弱性には軽減策がなく、バージョン 8.0.3 以前の PrestaShop のすべてのインストールに影響します。
脆弱なサイトにユーザー アカウントを持っている必要があるため、脆弱性はいくらか緩和されますが、オンライン ショップは注文を処理するために大規模なチームを雇うことが多いことを考えると、この欠陥により、悪意のある従業員や不満を持った従業員が損害を与えるリスクが生じます。
さらに、PrestaShop ベースの e コマース サイトのユーザー アカウントを侵害し、悪意のあるコードやバックドアを挿入したり、SQL データベースへのアクセスを取得したりする可能性があるハッカーにとって、より大きな攻撃対象領域が開かれます。
Web サイト データベースを介したバックドア インジェクションは、Sucuri が最近報告したステルス攻撃戦術であり、主に WordPress サイトを標的として、実際に勢いを増していると報告しています。
ソフトウェア ベンダーは、昨日リリースされたバージョン 8.0.4 および 1.7.8.9 のリリースでこれに対処しました。PrestaShop のすべての Web サイト所有者は、できるだけ早くアップグレードすることをお勧めします。
オープンソースの e コマース プラットフォームは、最新リリースで他の 2 つの脆弱性も修正しました。CVE-2023-30535 (CVSS v3.1: 7.7、「高」) とCVE-2023-30838 (CVSS v3.1: 8.0) です。 、 “高い”)。
1 つ目は、許可されていないユーザーが重要な情報にアクセスできる、任意のファイル読み取りの問題です。 2 つ目は、サイト上のすべての HTML 要素をハイジャックし、操作なしでトリガーされる XSS インジェクションの問題です。
ハッカーは常に PrestaShop のような大規模なプラットフォームの脆弱性を探しているため、利用可能なセキュリティ更新プログラムをできるだけ早く適用することが重要です。
2022 年 7 月、e コマース ソリューション ベンダーは、ハッカーがゼロデイ脆弱性を利用して PrestaShop ベースのサイトで SQL インジェクションを実行することにより、プラットフォームを標的にしていることをユーザーに緊急に警告しました。
Comments