PrestaShop的Facebook插件漏洞曝光,攻击者已利用该漏洞窃取信用卡信息

近日,一个针对PrestaShop电商平台的Facebook插件——pkfacebook的重大安全漏洞被曝光。该漏洞编号为CVE-2024-36680,已被电商平台技术社群Friends Of Presta确认,并指出已有攻击者利用此漏洞进行恶意活动。

PrestaShop的Facebook插件漏洞曝光,攻击者已利用该漏洞窃取信用卡信息

据悉,pkfacebook是一款付费插件,允许用户通过Facebook账号与电商平台进行互动,包括留言评论和通过Messenger与客服沟通。然而,该插件中的一个Ajax脚本facebookConnect.php存在敏感的SQL调用功能,导致攻击者可以发起SQL注入攻击。

Friends Of Presta社群警告说,此漏洞的CVSS风险评分高达9.8分,显示其严重性。受影响的版本包括1.0.1之前的所有版本。更令人担忧的是,该漏洞已被攻击者积极利用,在电商平台上植入侧录工具,大规模窃取信用卡资料。

由于pkfacebook插件是由Promokit.eu公司自行销售,因此目前尚不清楚具体有多少电商平台使用了该插件,也就无法确定漏洞影响的范围。这增加了潜在的风险和不确定性。

云安全公司TouchWeb在3月底就通报了这个漏洞,但当研究人员联系开发商Promokit.eu时,对方表示对此事并不了解,也未能提供有关漏洞影响的版本信息或最新版本以供研究人员验证修补情况。

面对这一严峻的安全威胁,Friends Of Presta呼吁所有使用该插件的网站管理员立即采取行动。建议的措施包括升级到最新版本的pkfacebook,并在网页应用防火墙(WAF)中启用特定规则以防范潜在的攻击。

此次事件再次提醒我们,网络安全无小事。电商平台和网站管理员需要时刻保持警惕,及时更新和修补安全漏洞,以确保用户数据的安全和隐私。


猜你喜欢

发表评论

  •  冰封剑魄
     2024-11-22 15:09:59  回复该评论
  • 这篇文章简直是我的快乐源泉,读完笑得我肚子疼,作者真是个段子手!
  •  烈焰焚天
     2024-11-22 15:09:59  回复该评论
  • 哈哈哈,这篇文章太逗了,作者一定是个幽默大师,让人一读就忍不住想评论一番。
  •  柔情蜜意
     2024-11-22 15:09:59  回复该评论
  • 这篇文章让我笑得差点岔气,作者真是个段子界的奇才,让人一读就停不下来。
  •  文字漫步者_赞赏君
     2024-11-22 15:09:59  回复该评论
  • 文章条理井然,语言如行云流水,读之宛若春风拂面,作者的文字功底令人钦佩!未及细品内容,已感佳作非凡,真心点赞!
  •  冰封雪域
     2024-11-22 15:09:59  回复该评论
  • 读了这篇文章,我感觉自己仿佛被一股欢乐的风暴席卷,心情变得无比愉悦。

发表评论:

推荐标签

tag