开源电商平台 PrestaShop 0day被用于窃取在线商店的支付数据

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

恶意人员正在利用开源 PrestaShop 电商平台上的一个0day，注入恶意skimmer 代码窃取敏感信息。

PrestaShop 公司在7月22日发布安全公告指出，“攻击者找到利用一个安全漏洞在运行 PrestaShop 网站的服务器上执行任意代码的方式。”

PrestaShop 声称是欧洲和拉美地区领先的电商解决方案，全球近30万名在线商家都在使用它。

攻击者实施感染的目标是在结账页面引入恶意代码，窃取客户输入的支付信息。利用该软件过时版本或其它易受攻击第三方模块的商店似乎是主要目标。PrestaShop 的维护人员还指出从服务中发现一个0day，目前该漏洞已在1.7.8.7中修复，不过该公司表示，“我们无法确定这是执行攻击的唯一方式。这一安全修复方案增强了 MySQL Smarty 缓存存储应对代码注入攻击的能力。这一遗留特性出于向后兼容的原因仍在维护，将从未来的 PrestaShop 版本中删除。”该漏洞是SQL漏洞 (CVE-2022-36408)，影响版本1.6.0.10或更高版本。

成功利用该漏洞可导致攻击者提交特殊构造的请求，从而能够执行任意指令，而在本例中是在结账页面注入虚假的支付表单，收集信用卡信息。

前不久，饭店点单平台 MenuDrive、Harbortouch和 InTouchPOS 等遭Magecart攻击，导致至少311家饭店受陷。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

---

推荐阅读

在线阅读版：《2021中国软件供应链安全分析报告》全文

Grafana 中存在严重的未授权任意文件读取漏洞，已遭利用

开源U-Boot 引导加载程序中存在两个未修复的严重0day

大企业都在用的开源 ForgeRock OpenAM 被曝预认证 RCE 0day

研究员公开网络设备配置管理开源程序 rConfig 中两个严重的 RCE 0day 漏洞（PoC 和详情）

VLC 开源媒体播放器被曝 0day，无补丁

WG10正式启动！共话证券基金行业开源软件治理

原文链接

https://thehackernews.com/2022/07/sonicwall-issues-patch-for-critical-bug.html

题图：Pixabay License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~