Wallarmレポート：PrestaShopアドオンのSQL攻撃に対する脆弱性

Wallarmは最新のレポートを発表し、Promokitが開発したPrestaShopのpkFacebookアドオンの重大な脆弱性に関する最近の開示をハイライトした。

人気のオープンソースeコマースプラットフォームであるPrestaShopは現在、Promokitが開発したpkFacebookアドオンの脆弱性により、重大なセキュリティーの脅威に直面している。PrestaShopとFacebookを統合するこのアドオンには、リモート攻撃者がSQLインジェクション攻撃を実行できる欠陥が含まれていることが判明した。CVE-2024-36680として識別されるこの脆弱性は、pkFacebookのfacebookConnect.php Ajaxスクリプトにあり、HTTPリクエストを通じて悪用される可能性がある。

この脆弱性は、今年3月3日にTouchWebのアナリストによって初めて特定された。それにもかかわらず、Promokit.euは、CVE-2022-36408のパッチがリリースされ、2022年に問題が解決されたと主張したが、その主張を裏付ける証拠は提示されなかった。これにより、サイバー犯罪者がこの脆弱性を悪用して、脆弱な電子商取引サイトにカードスキマーをインストールし、顧客のクレジットカード情報を盗んでいるのではないかとの懸念が生じている。

PrestaShopユーザーのコミュニティーであるFriends-of-PrestaがCVE-2024-36680の概念実証エクスプロイトを公開したことで、状況はさらに複雑になった。彼らは、この脆弱性が積極的に悪用され、ウェブスキマーをデプロイしてクレジットカード情報を大規模に盗むために使用されていると警告した。残念ながら、PromokitはFriends-of-Prestaにアドオンの最新バージョンを提供しておらず、問題が本当に解決されたかどうかを確認していない。Promokitのウェブサイトで入手できる最新バージョンはまだ1.0.0であり、パッチが発行されたかどうかは不明だ。

この継続的な問題への対応として、Friends-of-PrestaはPrestaShopユーザー向けにいくつかの改善手順を提供している。最新バージョンのpkFacebookにアップグレードすることを推奨している。このバージョンでは、マルチクエリー実行が無効になるが、UNION句によるSQLインジェクションは保護されない。また、Stored XSSの脆弱性を防ぐためにpSQLを使用し、セキュリティーを強化するためにデフォルトの”ps_”プレフィックスをより長く一意のものに変更することを提案している。最後に、潜在的な攻撃に対する保護を強化するために、WAF（ウェブアプリケーションファイアウォール）でOWASP 942ルールを有効にすることを推奨している。

出典：Wallarm