A plataforma de comércio eletrônico de código aberto PrestaShop lançou uma nova versão que corrige uma vulnerabilidade de gravidade crítica que permite que qualquer usuário do back-office escreva, atualize ou exclua bancos de dados SQL, independentemente de suas permissões.
Usuários do back-office são aqueles com acesso à interface administrativa do site, incluindo o proprietário, administradores, representantes de vendas, agentes de suporte ao cliente, processadores de pedidos, funcionários de entrada de dados e outros.
As permissões de cada usuário são definidas para que eles só possam acessar as informações e recursos necessários para sua função, o que é um recurso de segurança crucial do PrestaShop.
Rastreada como
CVE-2023-30839
, a falha crítica (pontuação CVSS v3.1: 9,9) permite que qualquer usuário, independentemente de suas permissões, faça modificações não autorizadas no banco de dados da loja online, podendo causar danos significativos ou interrupção do serviço para empresas afetadas.
A falha, que não tem mitigação, afeta todas as instalações do PrestaShop a partir da versão 8.0.3 e mais antigas.
Embora a necessidade de ter uma conta de usuário no site vulnerável minimize um pouco a vulnerabilidade, considerando que as lojas online geralmente empregam grandes equipes para lidar com pedidos, a falha introduz um risco de permitir que funcionários desonestos ou insatisfeitos causem danos.
Além disso, abre uma superfície de ataque maior para hackers, que agora podem comprometer qualquer conta de usuário em sites de comércio eletrônico baseados no PrestaShop e potencialmente injetar código malicioso e backdoors ou obter acesso ao banco de dados SQL.
Injeções de backdoor por meio de bancos de dados de sites são uma tática de ataque furtiva que a Sucuri relatou recentemente ganhando tração na natureza, visando principalmente sites do WordPress.
O fornecedor de software abordou o problema com o lançamento da versão 8.0.4 e 1.7.8.9, lançada ontem, para a qual todos os proprietários de sites do PrestaShop são recomendados a atualizar o mais rápido possível.
A plataforma de comércio eletrônico de código aberto também corrigiu outras duas vulnerabilidades em seu último lançamento, a saber
CVE-2023-30535
(CVSS v3.1: 7,7, "alto") e
CVE-2023-30838
(CVSS v3.1: 8,0, "alto").
O primeiro é um problema de leitura de arquivo arbitrário que dá a usuários não autorizados acesso a informações críticas.
O segundo é um problema de injeção XSS que pode sequestrar todos os elementos HTML do site e é acionado sem interação.
É crucial aplicar as atualizações de segurança disponíveis o mais rápido possível, já que os hackers estão sempre procurando vulnerabilidades em plataformas grandes como o PrestaShop.
Em julho de 2022, o fornecedor da solução de comércio eletrônico alertou urgentemente seus usuários que hackers estavam visando a plataforma aproveitando uma vulnerabilidade zero-day para realizar injeções SQL em sites baseados no PrestaShop.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...