وجود آسیب‌پذیری در فروشگاه‌ساز PRESTASHOP

مهاجمان از آسیب‌پذیری روز صفر در پلتفرم فروشگاه‌ساز PRESTASHOP سوءاستفاده می‌کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مهاجمان از یک نقص امنیتی ناشناخته در پلتفرم متن‌باز و رایگان فروشگاه‌ساز PrestaShop که جهت تزریق کد اسکیمر مخرب و سرقت اطلاعات حساس طراحی شده است، استفاده می‌کنند.

این ‫آسیب‌پذیری با شناسه CVE-۲۰۲۲-۳۶۴۰۸ به مهاجم اجازه خواهد داد تا از راه دور حملات خود را از طریق تزریق کد SQL انجام دهد. گفتنی است از آسیب‌پذیری مذکور در ماه جولای ۲۰۲۲ مورد بهره‌برداری قرار گرفت.

بهره‌برداری موفق از این نقص امنیتی مهاجم را قادر به ارسال درخواستی می‌کند که امکان اجرای دستورالعمل‌های دلخواه را با اهدافی همچون جمع‌آوری اطلاعات کارت بانکی از طریق درگاه پرداخت جعلی به او خواهد داد؛ در واقع در این حملات، مهاجمان کد مخربی را تزریق می‌کنند که قادر به سرقت اطلاعات کارت وارد شده توسط مشتریان در صفحه پرداخت اینترنتی است. به نظر می‌رسد فروشگاه‌هایی که از نسخه‌های قدیمی پرستاشاپ یا ماژول‌های آسیب‌پذیر استفاده می‌کنند، اهداف اصلی مهاجمان هستند.

شرکت توسعه‌دهنده PrestaShop اظهار داشت که مهاجمان راهی برای استفاده از یک آسیب‌پذیری امنیتی در این پلتفرم برای اجرای کد دلخواه در سرورهایی که وب سایت‌های PrestaShop را اجرا می‌کنند، یافته‌اند.

پرستاشاپ یک پلتفرم فروشگاه‌ساز رایگان است، که به کسب و کارهای کوچک و بزرگ کمک می‌کند تا یک فروشگاه آنلاین موفق را ایجاد و اجرا نمایند، این پلتفرم متن باز یا Open Source می‌باشد که بر اساس زبان برنامه نویسی php و پایگاه داده mySQL طراحی شده است. در حال حاضر نزدیک به ۳۰۰.۰۰۰ سایت فروشگاهی در سراسر جهان و ۶۰۰۰ فروشگاه در ایران از این پلتفرم استفاده می‌کنند. شایان ذکر است که حملات ناشی از این آسیب‌پذیری حداقل ۳۱۱ رستوران را نیز در معرض خطر قرار داده است.

این آسیب‌پذیری بر نسخه‌های ۱.۶.۰.۱۰ تا ۱.۷ (قبل از ۱.۷.۸.۲) پلتفرم PrestaShop تأثیر می‌گذارد. شرکت PrestaShop نقص امنیتی مذکور را در نسخه ۱.۷.۸.۷ پلتفرم PrestaShop رفع کرد و خاطر نشان شد این وصله امنیتی، حافظه کَش MySQL Smarty را در برابر حملات تزریق کد مقاوم می‌کند.