聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
PrestaShop 公司在7月22日发布安全公告指出,“攻击者找到利用一个安全漏洞在运行 PrestaShop 网站的服务器上执行任意代码的方式。”
PrestaShop 声称是欧洲和拉美地区领先的电商解决方案,全球近30万名在线商家都在使用它。
攻击者实施感染的目标是在结账页面引入恶意代码,窃取客户输入的支付信息。利用该软件过时版本或其它易受攻击第三方模块的商店似乎是主要目标。PrestaShop 的维护人员还指出从服务中发现一个0day,目前该漏洞已在1.7.8.7中修复,不过该公司表示,“我们无法确定这是执行攻击的唯一方式。这一安全修复方案增强了 MySQL Smarty 缓存存储应对代码注入攻击的能力。这一遗留特性出于向后兼容的原因仍在维护,将从未来的 PrestaShop 版本中删除。”该漏洞是SQL漏洞 (CVE-2022-36408),影响版本1.6.0.10或更高版本。
成功利用该漏洞可导致攻击者提交特殊构造的请求,从而能够执行任意指令,而在本例中是在结账页面注入虚假的支付表单,收集信用卡信息。
前不久,饭店点单平台 MenuDrive、Harbortouch和 InTouchPOS 等遭Magecart攻击,导致至少311家饭店受陷。
https://thehackernews.com/2022/07/sonicwall-issues-patch-for-critical-bug.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):开源电商平台 PrestaShop 0day被用于窃取在线商店的支付数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论