E equipe do PrestaShop corrigiu o bug que permitia apagar banco de dados. Confira os detalhes dessa ameaça e sua correção.
Sim. A plataforma de comércio eletrônico de código aberto PrestaShop lançou uma nova versão que aborda uma vulnerabilidade de gravidade crítica, permitindo que qualquer usuário de back-office grave, atualize ou exclua bancos de dados SQL independentemente de suas permissões.
PrestaShop corrigiu o bug que permitia apagar banco de dados
Os usuários de back-office são aqueles com acesso à interface administrativa do site, incluindo o proprietário, administradores, representantes de vendas, agentes de suporte ao cliente, processadores de pedidos, equipe de entrada de dados e outros.
As permissões de cada usuário são definidas para que eles tenham permissão para acessar apenas as informações e os recursos necessários para sua função, que é um recurso de segurança crucial do PrestaShop.
Rastreado como CVE-2023-30839, o crítico (pontuação CVSS v3.1: 9,9) permite que qualquer usuário, independentemente de suas permissões, realize modificações não autorizadas no banco de dados da loja online, podendo causar danos significativos ou interrupção do serviço às empresas afetadas.
A falha, que não tem mitigação, afeta todas as instalações do PrestaShop a partir da versão 8.0.3 e anteriores.
Embora a necessidade de ter uma conta de usuário no site vulnerável mitigue um pouco a vulnerabilidade, considerando que as lojas online costumam empregar grandes equipes para lidar com os pedidos, a falha apresenta o risco de permitir que funcionários desonestos ou descontentes causem danos.
Além disso, abre uma superfície de ataque maior para hackers, que agora podem comprometer qualquer conta de usuário em sites de comércio eletrônico baseados em PrestaShop e potencialmente injetar códigos maliciosos e backdoors ou obter acesso ao banco de dados SQL.
Injeções de backdoor através de bancos de dados de sites são uma tática de ataque furtiva que a Sucuri relatou recentemente ganhando força na natureza, visando principalmente sites WordPress.
O fornecedor do software abordou isso com o lançamento das versões 8.0.4 e 1.7.8.9, lançadas ontem, para as quais todos os proprietários de sites da PrestaShop são recomendados a atualizar o mais rápido possível.
A plataforma de comércio eletrônico de código aberto também corrigiu duas outras vulnerabilidades em sua versão mais recente, a saber, CVE-2023-30535 (CVSS v3.1: 7.7, “alto”) e CVE-2023-30838 (CVSS v3.1: 8.0 , “alto”).
O primeiro é um problema arbitrário de leitura de arquivo que dá acesso a informações críticas a usuários não autorizados. O segundo é um problema de injeção de XSS que pode sequestrar todos os elementos HTML no site e é acionado sem interação.
É crucial aplicar as atualizações de segurança disponíveis o mais rápido possível, pois os hackers estão sempre procurando vulnerabilidades em grandes plataformas como PrestaShop.
Em julho de 2022, o fornecedor de soluções de comércio eletrônico alertou com urgência seus usuários de que os hackers atacaram a plataforma aproveitando uma vulnerabilidade de dia zero para executar injeções de SQL em sites baseados em PrestaShop.
