Vulnerabilità Prestashop vecchie versoni

Vulnerabilità Prestashop vecchie versoni
08 Mag 2023 By InNews Prodotti

Vulnerabilità Prestashop, ultimamente sono stati riscontrati problemi nelle vecchie versioni Prestashop, vediamo come affrontarli e mettersi al sicuro.

Questa vulnerabilità Prestashop interessa tutti gli store dalla versione 1.4.10.0 alla 1.7.8.1 e che mette a rischio l’intero sito e-commerce e lo espone ai cosiddetti “attacchi hacker” tramite “SQL Injection” appropriandosi di tutte le password dei clienti e info bancari, risoltosi nell’ultima release 1.7.8.8.
Vediamo nel dettaglio cosa sta succedendo, il modus operandi si presenta così:

L’attaccante invia una richiesta POST all’endpoint vulnerabile a SQL injection.
Dopo circa un secondo, l’aggressore invia una richiesta GET alla home page, senza parametri. Ciò si traduce in un file PHP chiamato blm.phpcreato nella radice della directory del negozio.
L’aggressore ora invia una richiesta GET al nuovo file che è stato creato, blm.php, consentendogli di eseguire istruzioni arbitrarie.
Dopo che gli aggressori hanno ottenuto con successo il controllo di un negozio, hanno inserito un falso modulo di pagamento nella pagina di pagamento del front-office. In questo scenario, i clienti del negozio potrebbero inserire i dati della propria carta di credito nel modulo falso e inviarlo inconsapevolmente agli aggressori.

Questo sembra essere il modello comune, ma gli aggressori potrebbero utilizzarne uno diverso, inserendo un nome di file diverso, modificando altre parti del software, inserendo codice dannoso altrove o addirittura cancellando le proprie tracce una volta che l’attacco ha avuto successo.

Per proteggere il tuo negozio assicurati che tutti i tuoi moduli siano aggiornati alla loro ultima versione. Ciò dovrebbe impedire al tuo negozio di essere esposto a vulnerabilità prestashop (SQL injection note) e sfruttate attivamente.

Gli aggressori potrebbero utilizzare le funzionalità di archiviazione della cache di MySQL Smarty come parte del vettore di attacco. Questa funzione è usata raramente ed è disabilitata per impostazione predefinita, ma può essere abilitata in remoto dall’attaccante. Fino alla pubblicazione di una patch, consigliamo di disabilitare fisicamente questa funzione nel codice di PrestaShop per interrompere la catena di attacco.

Infine per mettersi al sicuro da questa vulnerabilità prestashop vorremmo sottolineare ancora una volta l’importanza di mantenere aggiornato il sistema per prevenire tali attacchi. Ciò significa aggiornare regolarmente sia il software PrestaShop e i suoi moduli, sia l’ambiente del server.

Per maggiori approfondimenti si rimanda al seguente link:
Versioni che vanno 1.4.10.0 alla 1.7.6.9: https://bit.ly/41fBZHG
Versioni che vanno 1.7.5.0 alla 1.7.8.1:https://bit.ly/3NJcg7C

Per maggiori informazioni non esitate a contattarci Creawebonline.

Cliccando qui potrai aggiornare la versione del tuo Prestashop.

Fonte Prestashop

Impostazioni Privacy

Scegli quali cookie vuoi autorizzare Puoi cambiare queste impostazioni in qualsiasi momento. Tuttavia, questo potrebbe risultare alla susseguente non-disponibilità di alcune funzioni. Per informazioni sull’eliminazione dei cookie, consulta la funzione aiuto del tuo browser SCOPRI DI PIÙ SUI COOKIE CHE UTILIZZIAMO.

Con lo slider, puoi abilitare o disabilitare vari tipi di cookie:

  • Essenziali
  • Funzionalità
  • Analitici
  • Pubblicità

Dati a cui si accede

Dati a cui non si accede

  • Essenziale: ricorda l'impostazione dei permessi dei cookie
  • Essenziale: consentire i cookie di sessione
  • Essenziale: raccogli informazioni che inserisci in moduli di contatto, newsletter e altri moduli in tutte le pagine
  • Essenziale: tieni traccia di ciò che hai inserito in un carrello della spesa
  • Essenziale: autenticare che si è connessi al proprio account utente
  • Essenziale: ricorda la versione della lingua selezionata
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
  • Ricorda i tuoi dati di accesso
  • Essenziale: ricorda l'impostazione dei permessi dei cookie
  • Essenziale: consentire i cookie di sessione
  • Essenziale: raccogli informazioni che inserisci in moduli di contatto, newsletter e altri moduli in tutte le pagine
  • Essenziale: tieni traccia di ciò che hai inserito in un carrello della spesa
  • Essenziale: autenticare che si è connessi al proprio account utente
  • Essenziale: ricorda la versione della lingua selezionata
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
Salva e chiudi