Prestashop çevrimiçi mağaza sisteminde, ağdaki kayıtsız saldırganlar tarafından sistemi tamamen tehlikeye atmak için kullanılabilecek kritik bir güvenlik açığı var. Siber suçlular, kredi kartı verilerine büyük ölçekte saldırmak için güvenlik açığından zaten yararlanıyor.
Prestashop: filtreleme eksikliği nedeniyle kritik boşluk
Prestashop’ta ürün araması yapılırken Posthemes bileşeni kullanılmaktadır. Bir SQL sorgusunda sonuçlanan girişi yeterince filtrelemez. Bu aynı zamanda konukların manipüle edilmiş sorgular girmesine olanak tanır. yöntem PosSearch::find() bir http isteğiyle yürütülebilen ve bir SQL enjeksiyonu için yararlanılabilen hassas SQL çağrıları içerir, Güvenlik Danışma Belgesi’nin (CVE-2023-30192, CVSS) yazarlarını açıklayın 9.8risk”eleştirmen“).
Özellikle iğrenç: after-themes’i devre dışı bırakmak yeterli değil, güvenlik açığından yine de yararlanılabilir. Raporun yazarlarına göre, güvenlik açığı, dolandırıcıların kredi kartı bilgilerini çalmak için kullandıkları sözde web skimmers tarafından savunmasız çevrimiçi mağazalara sızmak için aktif olarak kullanılıyor.
Güvenlik raporuna göre, keşfedenler hangi sürümlerin etkilendiğini belirtmedi. Ancak, Prestashop 1.7 için bir yama var. Öneri, mağaza yazılımınızı 1.7.8.8 ve 8.0.1’in daha yeni bir sürümüne yama yapmanız veya güncellemenizdir. Mevcut sürümler 1.7.8.9 ve 8.0.4’tür. Güvenlik açığı zaten aktif olarak saldırıya uğradığından, raporun yazarları, güvenlik açığı bulucu tarafından daha fazla açıklama yapılmadan önce raporu yayınlamaya karar verdiler. Prestashop bulut sunucusu yöneticilerinin mümkün olan en kısa sürede en son yazılım sürümlerine yükseltme yapması gerekir.
Yaklaşık iki hafta önce, geliştiriciler Prestashop’taki kritik güvenlik açıklarını kapattılar. Yazılım durumunu zaten güncellemiş olan herkes, güvenlik bildirimine göre güvende olmalıdır.
(dmk)
Haberin Sonu
Prestashop: filtreleme eksikliği nedeniyle kritik boşluk
Prestashop’ta ürün araması yapılırken Posthemes bileşeni kullanılmaktadır. Bir SQL sorgusunda sonuçlanan girişi yeterince filtrelemez. Bu aynı zamanda konukların manipüle edilmiş sorgular girmesine olanak tanır. yöntem PosSearch::find() bir http isteğiyle yürütülebilen ve bir SQL enjeksiyonu için yararlanılabilen hassas SQL çağrıları içerir, Güvenlik Danışma Belgesi’nin (CVE-2023-30192, CVSS) yazarlarını açıklayın 9.8risk”eleştirmen“).
Özellikle iğrenç: after-themes’i devre dışı bırakmak yeterli değil, güvenlik açığından yine de yararlanılabilir. Raporun yazarlarına göre, güvenlik açığı, dolandırıcıların kredi kartı bilgilerini çalmak için kullandıkları sözde web skimmers tarafından savunmasız çevrimiçi mağazalara sızmak için aktif olarak kullanılıyor.
Güvenlik raporuna göre, keşfedenler hangi sürümlerin etkilendiğini belirtmedi. Ancak, Prestashop 1.7 için bir yama var. Öneri, mağaza yazılımınızı 1.7.8.8 ve 8.0.1’in daha yeni bir sürümüne yama yapmanız veya güncellemenizdir. Mevcut sürümler 1.7.8.9 ve 8.0.4’tür. Güvenlik açığı zaten aktif olarak saldırıya uğradığından, raporun yazarları, güvenlik açığı bulucu tarafından daha fazla açıklama yapılmadan önce raporu yayınlamaya karar verdiler. Prestashop bulut sunucusu yöneticilerinin mümkün olan en kısa sürede en son yazılım sürümlerine yükseltme yapması gerekir.
Yaklaşık iki hafta önce, geliştiriciler Prestashop’taki kritik güvenlik açıklarını kapattılar. Yazılım durumunu zaten güncellemiş olan herkes, güvenlik bildirimine göre güvende olmalıdır.
(dmk)
Haberin Sonu