PrestaShop, yöneticileri güvenlik açıklarını kapatmak için uygulamayı güncellemeye çağırıyor


Açık kaynak kullanan e-ticaret sitelerinin yöneticileri PrestaShop platform, ciddi güvenlik açıklarını kapatmak için uygulamayı hemen güncellemesi konusunda uyarıldı.

PrestaShop, bilgisayar korsanlarının PrestaShop web sitelerine kötü amaçlı kod enjekte etmek için bilinen ve bilinmeyen güvenlik açıklarının bir kombinasyonunu kullandığını ilk öğrendiğini, bunların keyfi talimatları yürütmelerine ve potansiyel olarak müşterinin ödeme bilgilerini çalmalarına izin verdiğini söylüyor. Şirket, bu saldırıyı araştırırken, daha önce bilinmeyen bir güvenlik açığı zinciri de buldu.

Uyarıda, “Anladığımız kadarıyla, bu sorun, SQL enjeksiyon güvenlik açıklarına tabi olan, 1.6.0.10 veya üzeri sürümlere dayalı mağazalarla ilgili görünüyor” diyor. “Sürüm 1.7.8.2 ve üstü, kendisi bir SQL enjeksiyon güvenlik açığı içeren bir modül veya özel kod çalıştırmadıkça savunmasız değildir. İstek listesi (engelleme listesi) modülünün 2.0.0~2.1.0 sürümlerinin savunmasız olduğunu unutmayın.”

Pazartesi günü yayınlanan uygulamanın en son sürümü, MySQL Smarty önbellek depolama özelliğindeki bir güvenlik açığıyla ilgileniyor.

PrestaShop, Avrupa ve Latin Amerika’da en fazla kullanıcı sayısına sahiptir, ancak Kanada ve ABD’de çevrimiçi mağazalar vardır.

Uyarı, saldırıların genellikle şu şekilde çalıştığını söylüyor:

  1. Saldırgan, SQL enjeksiyonuna açık olan uç noktaya bir POST isteği gönderir.
  2. Yaklaşık bir saniye sonra, saldırgan ana sayfaya parametresiz bir GET isteği gönderir. Bu, adlı bir PHP dosyasıyla sonuçlanır. blm.php mağazanın dizininin kökünde oluşturuluyor.
  3. Saldırgan şimdi oluşturulan yeni dosyaya bir GET isteği gönderir, blm.phpkeyfi talimatları yürütmelerine izin verir.

Saldırgan bir mağazanın kontrolünü başarıyla ele geçirdikten sonra, ön büro ödeme sayfasına sahte bir ödeme formu enjekte etti. Bu senaryoda, mağaza müşterileri kredi kartı bilgilerini sahte forma girebilir ve bilmeden saldırganlara gönderebilir.

Uyarı ayrıca, saldırganların uygulamaya farklı bir dosya adı yerleştirebileceğini, yazılımın diğer bölümlerini değiştirebileceğini, kötü amaçlı kod yerleştirebileceğini ve hatta saldırı başarılı olduktan sonra izlerini silebileceğini de ekliyor.

PrestaShop, ilk savunma olarak mağazanızın ve tüm modüllerin en son sürümlerine güncellendiğinden emin olmanızı önerir.

Saldırganlar, saldırı vektörünün bir parçası olarak MySQL Smarty önbellek depolama özelliklerini kullanıyor olabilir. Bu özellik nadiren kullanılır ve varsayılan olarak devre dışıdır, ancak saldırgan tarafından uzaktan etkinleştirilebilir. PrestaShop 1.7.8.7 MySQL Smarty önbellek depolamasını kod enjeksiyon saldırılarına karşı güçlendirmek için yayınlandı.

Bunun nasıl yapılacağına ilişkin ayrıntılar PretaShop danışma belgesindedir. Ayrıca, yöneticilerin sitelerinin güvenliğinin ihlal edilip edilmediğini nasıl anlayabileceklerini de açıklar.




Kaynak : https://www.itworldcanada.com/article/prestashop-urges-administrators-to-update-application-to-close-vulnerabilities/494657

SMM Panel Viski Fiyatları Geçici Mail yks pdf indir antrenmanlarla matematik 1 pdf serway fizik 1 pdf ales çıkmış sorular pdf ilahi sözleri 1984 pdf türkçe pdf minecraft premium satın al ilahi sözleri Selçuk Sport Apk İndir