PrestaShop fixes bug that lets any backend user delete databases
2023/04/16 BleepingComputer — Eコマース・プラットフォームの OSS である、PrestaShop がリリースした新バージョンは、バックオフィス・ユーザー権限の有無には関係なく、SQL データベースの書込/更新/削除が可能となる深刻な脆弱性に対処したものだ。バックオフィス・ユーザーとは、Web サイトの管理画面にアクセスできるユーザーのことであり、そこに含まれるのは Owner/Administrator/Sales Representative/Customer Support Agent/Order Processor/Data Entry Staff などとなる。
それぞれのユーザーの権限は、それぞれのロールに必要な情報や機能だけにアクセスできるように設定されている。したがって、このロールが、PrestaShop の重要なセキュリティ機能となっている。
そして、問題の脆弱性 CVE-2023-30839 (CVSS:9.9) は、上記のロール権限に関係なく、任意のユーザーに対してオンライン・ショップのデータベースへの不正な変更を許すものである。したがって、影響を受けた企業において、大きな損害やサービスの停止などが生じる可能性がある。
また、この脆弱性には緩和策がなく、PrestaShop バージョン 8.0.3 以前の、すべてのインストールに影響する。ただし、この脆弱性を持つサイトで攻撃を成功させるには、脅威アクターがユーザー・アカウントを持つ必要があるため、多少は緩和されるはずだ。とは言え、オンライン・ショップで注文を処理するためには、大規模なチームが必要になるはずであり、この欠陥により、たとえば不満を持つ従業員が危害を加える可能性が生じる。
さらに、PrestaShop ベースの Eコマースサイトにおいて、あらゆるユーザー・アカウントを侵害した攻撃者が、悪意のコードやバックドアを注入することで、SQL データベースへのアクセスを可能にし、より大きな対象を攻撃していくことも考えられる。この、Web サイトのデータベースを介したバックドア注入は、最近に Sucuri が報告した、主として WordPress サイトを標的とする、ステルス攻撃手法の1つである。
PrestaShop は、昨日にリリースしたバージョン 8.0.4/1.7.8.9 で、この問題に対処しており、すべての PrestaShop Web サイトの所有者に対して、可能な限り早急にアップグレードするよう促している。
また、この OSS 電子商取引プラットフォームは最新リリースにおいて、CVE-2023-30535 (CVSS:7.7)/CVE-2023-30838 (CVSS:8.0) という、別の脆弱性も修正した。
前者は、任意のファイル読み取りの脆弱性であり、権限のないユーザーに対して、重要な情報へのアクセスを許すものだ。後者は、サイト上の全 HTML 要素の乗っ取りを許す XSS インジェクションの脆弱性であり、インタラクションを必要とすることなく発動される。
PrestaShop のような大規模プラットフォームの脆弱性を、ハッカーたちは常に探しているため、利用可能なセキュリティ・アップデートを、可能な限り早急に適用することが極めて重要となる。
2022年7月にも PrestaShop は、同プラットフォームを標的とするハッカーが、ゼロデイ脆弱性を悪用する SQLインジェクションを実行していると、ユーザーに対して緊急警告している。
文中にもあるように、PrestaShop のインシデントに関しては、2022/07/25 の「PrestaShop のゼロデイ CVE-2022-36408 の悪用:オンラインストアから決済データを窃取」という記事がありました。また、2023/02/07 の「オンライン・ショップのバックアップが狙われる:店舗の 12% で機密情報が漏洩しやすい状況」も重要な記事だと思います。よろしければ、e Commerce で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.