PrestaShop的Facebook插件漏洞曝光,攻击者已利用该漏洞窃取信用卡信息

近日,一个针对PrestaShop电商平台的Facebook插件——pkfacebook的重大安全漏洞被曝光。该漏洞编号为CVE-2024-36680,已被电商平台技术社群Friends Of Presta确认,并指出已有攻击者利用此漏洞进行恶意活动。

PrestaShop的Facebook插件漏洞曝光,攻击者已利用该漏洞窃取信用卡信息

据悉,pkfacebook是一款付费插件,允许用户通过Facebook账号与电商平台进行互动,包括留言评论和通过Messenger与客服沟通。然而,该插件中的一个Ajax脚本facebookConnect.php存在敏感的SQL调用功能,导致攻击者可以发起SQL注入攻击。

Friends Of Presta社群警告说,此漏洞的CVSS风险评分高达9.8分,显示其严重性。受影响的版本包括1.0.1之前的所有版本。更令人担忧的是,该漏洞已被攻击者积极利用,在电商平台上植入侧录工具,大规模窃取信用卡资料。

由于pkfacebook插件是由Promokit.eu公司自行销售,因此目前尚不清楚具体有多少电商平台使用了该插件,也就无法确定漏洞影响的范围。这增加了潜在的风险和不确定性。

云安全公司TouchWeb在3月底就通报了这个漏洞,但当研究人员联系开发商Promokit.eu时,对方表示对此事并不了解,也未能提供有关漏洞影响的版本信息或最新版本以供研究人员验证修补情况。

面对这一严峻的安全威胁,Friends Of Presta呼吁所有使用该插件的网站管理员立即采取行动。建议的措施包括升级到最新版本的pkfacebook,并在网页应用防火墙(WAF)中启用特定规则以防范潜在的攻击。

此次事件再次提醒我们,网络安全无小事。电商平台和网站管理员需要时刻保持警惕,及时更新和修补安全漏洞,以确保用户数据的安全和隐私。


猜你喜欢

发表评论

  •  霸气天下
     2024-11-28 07:24:25  回复该评论
  • 哈哈哈,这篇文章太逗了,感觉作者脑子里装满了笑料,一读就让人心情愉悦。
  •  墨香书韵
     2024-11-28 07:24:25  回复该评论
  • 文章条理清晰,语言流畅,读来如沐春风,作者的文字功底可见一斑。虽未深入内容,但已心生敬佩,佳作一枚!
  •  流浪者之歌
     2024-11-28 07:24:25  回复该评论
  • 读了这篇文章,我感觉自己仿佛参加了一场欢乐的喜剧盛宴,作者真是个隐藏的喜剧大师。
  •  雷霆之怒
     2024-11-28 07:24:25  回复该评论
  • 这篇文章简直就是我的开心果,每次读都能让我忘记烦恼,开怀大笑。
  •  梦幻西游
     2024-11-28 07:24:25  回复该评论
  • 哇,这篇文章太搞笑了,作者一定是段子界的佼佼者,让人一读就忍不住想转发。

发表评论:

推荐标签

tag