Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

0-day уязвимость платформы электронной коммерции PrestaShop используется "в дикой природе"

27/07/22

PrestaShop

PrestaShop заявила об инциденте в официальном сообщении, опубликованном 22 июля. Согласно сообщению компании, злоумышленники нашли уязвимость в системе безопасности серверов, на которых запущена платформа.

С ее помощью хакеры внедрили скиммер, крадущий платежную информацию покупателей на странице оформления заказа, пишет Securitylab. Главной мишенью киберпреступников стали магазины, использующие устаревшую версию PrestaShop или уязвимые модули сторонних разработчиков.

По словам сопровождающих платформы, в версии 1.7.8.7 они исправили 0-day уязвимость, которая могла стать брешью в защите серверов. Патч укрепил хранилище кэша Smarty в MySQL, защитив его от SQL-инъекции, отслеживаемой как CVE-2022-36408, которая затрагивает версии PrestaShop 1.6.0.10 и выше.

Успешная эксплуатация уязвимости позволяет злоумышленнику отправить специально созданный запрос, который дает возможность выполнить произвольные инструкции. В данном случае – внедрить поддельную форму оплаты на странице оформления заказа.

Темы:Онлайн-торговляПреступления0-day уязвимости
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...