SK-CERT Bezpečnostné varovanie V20230529-09

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	9.8

Identifikátor

Moduly pre Prestashop WP plugin – tri kritické bezpečnostné zraniteľnosti

Popis

Vývojári modulov SC Export Customers, SC Fix My Prestashop a SC Quick Accounting vydali bezpečnostné aktualizácie svojich produktov, ktoré opravujú dve kritické bezpečnostné zraniteľnosti. Najzávažnejšia kritická bezpečnostná zraniteľnosť spočíva v nedostatočnom overovaní používateľských vstupov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom SQL injekcie vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Dátum prvého zverejnenia varovania

26.05.2023

CVE

CVE-2023-33278, CVE-2023-33279, CVE-2023-33280

IOC

–

Zasiahnuté systémy

SC Export Customers module for PrestaShop vo verzii staršej ako 3.6.2 SC Fix My Prestashop module for PrestaShop vo všetkých verziách (End of life) SC Quick Accounting module for PrestaShop vo verzii staršej ako 3.7.4

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania

Odporúčame uistiť sa, či Vaše webové stránky a aplikácie založené na redakčnom systéme WordPress nevyužívajú predmetné moduly pre plugin Prestashop v zraniteľnej verzii. V prípade, že áno, bezodkladne zabezpečte aktualizáciu redakčného systému a všetkých používaných pluginov a ich modulov na aktuálne verzie bez známych bezpečnostných zraniteľností. Modul SC Fix My Prestashop je zastaralý a jeho vývojári ho odporúčajú odinštalovať. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Zdroje

https://exchange.xforce.ibmcloud.com/vulnerabilities/256376 https://exchange.xforce.ibmcloud.com/vulnerabilities/256375 https://exchange.xforce.ibmcloud.com/vulnerabilities/256374

« Späť na zoznam