Platform e-commerce open-source PrestaShop telah merilis versi baru yang mengatasi kerentanan kritis yang memungkinkan setiap pengguna back-office untuk menulis, memperbarui, atau menghapus database SQL terlepas dari izin mereka.
Pengguna back-office adalah mereka yang memiliki akses ke antarmuka administrasi situs web, termasuk pemilik, administrator, perwakilan penjualan, agen dukungan pelanggan, pemroses pesanan, staf entri data, dan lainnya.
Izin setiap pengguna diatur sehingga mereka hanya diizinkan untuk mengakses informasi dan fitur yang diperlukan untuk peran mereka, yang merupakan fitur keamanan penting dari PrestaShop.
Dilacak sebagai CVE-2023-30839kritis (skor CVSS v3.1: 9.9) memungkinkan setiap pengguna, terlepas dari izin mereka, untuk melakukan modifikasi tidak sah pada database toko online, yang berpotensi menyebabkan kerusakan signifikan atau penghentian layanan pada bisnis yang terpengaruh.
Cacat, yang tidak memiliki mitigasi, berdampak pada semua instalasi PrestaShop dari versi 8.0.3 dan yang lebih lama.
Sementara kebutuhan untuk memiliki akun pengguna di situs yang rentan agak mengurangi kerentanan, mengingat toko online sering mempekerjakan tim besar untuk menangani pesanan, kelemahan tersebut menimbulkan risiko membiarkan karyawan nakal atau tidak puas menyebabkan kerusakan.
Selain itu, ini membuka permukaan serangan yang lebih besar bagi peretas, yang sekarang dapat mengkompromikan akun pengguna mana pun di situs e-niaga berbasis PrestaShop dan berpotensi menyuntikkan kode berbahaya dan pintu belakang atau mendapatkan akses ke database SQL.
Injeksi pintu belakang melalui database situs web adalah taktik serangan diam-diam Sucuri baru-baru ini melaporkan mendapatkan daya tarik di alam liar, terutama menargetkan situs WordPress.
Vendor perangkat lunak mengatasinya dengan merilis versi 8.0.4 dan 1.7.8.9, yang dirilis kemarin, di mana semua pemilik situs web PrestaShop disarankan untuk memutakhirkan sesegera mungkin.
Platform e-commerce open-source juga telah memperbaiki dua kerentanan lainnya dalam rilis terbarunya, yaitu CVE-2023-30535 (CVSS v3.1: 7.7, “tinggi”) dan CVE-2023-30838 (CVSS v3.1: 8.0, “tinggi”).
Yang pertama adalah masalah pembacaan file sewenang-wenang yang memberikan akses kepada pengguna yang tidak sah ke informasi penting. Yang kedua adalah masalah injeksi XSS yang dapat membajak setiap elemen HTML di situs dan dipicu tanpa interaksi.
Sangat penting untuk menerapkan pembaruan keamanan yang tersedia sesegera mungkin karena peretas selalu mencari kerentanan di platform besar seperti PrestaShop.
Pada Juli 2022, vendor solusi e-niaga segera memperingatkan penggunanya bahwa peretas menargetkan platform dengan memanfaatkan kerentanan zero-day untuk melakukan injeksi SQL di situs berbasis PrestaShop.
