Computer >> Máy Tính >  >> Kết nối mạng >> An ninh mạng

Addon PrestaShop - "Data Privacy Extended (ver3.7.8) Dễ bị tấn công CSRF

Tên plugin :Quyền riêng tư dữ liệu được mở rộng (luật bảo vệ dữ liệu) - Mô-đun GDPR
Tên lỗ hổng bảo mật :CSRF (Truy vấn yêu cầu trên nhiều trang web) trong “Xóa tài khoản” Phiên bản bán hàng trước bị ảnh hưởng :v1.6.0.4 - v1.7.6.0 Phiên bản dễ bị tổn thương :<3.7.8 Phiên bản đã vá :3.7.8 Lỗ hổng bảo mật được báo cáo :Ngày 20 tháng 6 năm 2019 Lỗ hổng bảo mật được vá :Ngày 25 tháng 6 năm 2019 Trong khi thực hiện kiểm tra bảo mật trên một trong những khách hàng Prestashop của chúng tôi tại Astra, tôi đã tìm thấy lỗ hổng CSRF (Cross-Site Request Forgery) nghiêm trọng trong mô-đun PrestaShop, Data Privacy Extended (được phát triển bởi Innovadeluxe). Nó hiện có hơn 2500 cài đặt đang hoạt động. Do lỗ hổng này, người dùng chưa được xác thực có thể xóa tài khoản của người dùng PrestaShop đã xác thực bằng cách lừa anh ta mở các liên kết độc hại trên web.

Là một công ty bảo mật có liên quan và có trách nhiệm, Astra đã báo cáo lỗ hổng bảo mật cho các nhà phát triển ngay lập tức. Các nhà phát triển của Innovadeluxe đã nhanh chóng phản hồi và nhanh chóng trong hành động của họ. Họ đã vá lỗ hổng bảo mật và phát hành phiên bản cập nhật 3.7.8 vào ngày 25 tháng 6 năm 2019.

Chi tiết lỗ hổng bảo mật:

Mô-đun Mở rộng Quyền riêng tư Dữ liệu được biết là giúp các trang web của PrestaShop phù hợp hơn với GDPR. Nó có các tính năng như yêu cầu đồng ý về quyền riêng tư trong biểu mẫu đăng ký nhận bản tin, biểu mẫu liên hệ, biểu mẫu đăng ký, v.v. Ngoài ra, nó cũng cho phép khách hàng xóa tài khoản của họ nếu không có hóa đơn phù hợp cho các đơn đặt hàng đã đặt. endpoint dễ bị tấn công bởi CSRF (Cross Site Request Forgery), cho phép tin tặc lừa người dùng đã đăng nhập xóa tài khoản PrestaShop của họ chỉ bằng cách truy cập vào một URL độc hại / truy cập một trang web.

Chi tiết kỹ thuật:

Đây là một bằng chứng về khái niệm mô tả cách lỗ hổng bảo mật có thể bị khai thác,

Bạn có thể làm gì:

Các cuộc tấn công của CSRF rất đáng sợ; họ cho phép kẻ tấn công nắm giữ thông tin nhạy cảm của trang web của bạn như chi tiết thẻ tín dụng, cơ sở dữ liệu bí mật, tài khoản quản trị, v.v. Tuy nhiên, việc chuẩn bị trước có thể giúp bạn ngăn chặn những nỗ lực như vậy trên trang web của mình. Sau đây là một số cách bạn có thể bảo vệ trang web của mình:

1) Cập nhật lên phiên bản mới nhất

Các nhà phát triển plugin đã cập nhật và phát hành phiên bản vá lỗi trên Prestashop. Nếu bạn chưa chuyển sang phiên bản cập nhật và an toàn hơn (3.7.8), hãy cập nhật ngay bây giờ. Ngoài ra, nếu bạn đang sử dụng phiên bản CMS lỗi thời, hãy cập nhật phiên bản đó.

2) Đầu tư vào tường lửa

Tường lửa tạo ra một lớp bảo vệ trên trang web của bạn. Đầu tư vào một tường lửa ứng dụng web tốt có thể mang lại cho bạn khả năng bảo mật cao hơn, ít sự cố hơn, về cơ bản lợi tức đầu tư cao. Một trong những bức tường lửa cao cấp như vậy là Tường lửa Astra.

Nó chặn CSRF, SQLi, XSS, bot xấu, TOP 10 OWASP và hơn 100 mối đe dọa sắp tới khác trên trang web của bạn. Tường lửa cũng cung cấp một hệ thống giám sát liên tục và toàn diện cho trang web của bạn.

Nhấn vào đây để bảo vệ trang web của bạn.