Tag: PrestaShop

Stripe API を悪用する Web スキミング:オンライン・ストアから効率よくクレカ情報を盗み出す

Hackers Exploit Stripe API for Web Skimming Card Theft on Online Stores

2025/04/03 HackRead — オンライン小売業を標的とする高度な Web スキミング・キャンペーンを、Jscamblers のサイバー・セキュリティ研究者たちが発見した。このキャンペーンは、盗み出したクレジットカードの詳細を、レガシー API を介して悪意のサーバへと送信するものだが、その前にリアルタイムで情報を検証する点に特徴がある。この手法により、アクティブで有効なカード番号のみを、攻撃者は収集できるため、侵害における効率と利益が大幅に向上する。

Continue reading “Stripe API を悪用する Web スキミング:オンライン・ストアから効率よくクレカ情報を盗み出す”

PrestaShop サイトを狙う GTAG Websocket スキマー:精算のプロセス中に顧客情報を窃取

PrestaShop Websites Under Attack: GTAG Websocket Skimmer Steals Cre

2024/08/19 securityonline — eコマース Top-10 に入る PrestaShop だが、その脆弱性を悪用する新たなクレジットカード・スキマーが、Sucuri のセキュリティ研究者たちにより発見された。この巧妙な攻撃は、WebSocket 接続を使用するものであり、精算のプロセス中に顧客の機密情報を盗み取るというものだ。その、GTAG Websocket Skimmer と名付けられ新たなマルウェアは、PrestaShop のコア・ファイルに悪意のコードを注入することで、従来のセキュリティ・ツールにより検知を回避し、ユーザーが購入を完了する際に、リアルタイムでクレジットカード情報を取得する。

Continue reading “PrestaShop サイトを狙う GTAG Websocket スキマー:精算のプロセス中に顧客情報を窃取”

PrestaShop モジュール pkfacebook の脆弱性 CVE-2024-36680:クレカ情報の窃取で悪用

Facebook PrestaShop module exploited to steal credit cards

2024/06/23 BleepingComputer — PrestaShop 用のプレミアム Facebook モジュールである、pkfacebook の脆弱性を悪用するハッカーが、脆弱なeコマースサイトにカード・スキマーを展開し、ユーザーの決済用クレジットカード情報を盗んでいることが判明した。PrestaShop は、オンライン・ストアの作成/管理のための、オープンソースのeコマース・プラットフォームである。2024年現在において、個人や企業を問わず、世界中で約 300,000 件のオンライン・ストアに利用されている。

Continue reading “PrestaShop モジュール pkfacebook の脆弱性 CVE-2024-36680:クレカ情報の窃取で悪用”

PrestaShop Facebook モジュールの脆弱性 CVE-2024-36680:SQLi 攻撃が発生

PrestaShop Sites Under Attack via Facebook Module Vulnerability (CVE-2024-36680)

2024/06/20 SecurityOnline — Promokit.eu が提供する、人気モジュール PrestaShop Facebook (pkfacebook) に存在する脆弱性が、サイバー犯罪者たちにより活発に悪用されていることが判明した。この脆弱性 CVE-2024-36680 (CVSS:9.8) の悪用に成功した権限のないユーザーが、悪意の SQL コードを Web サイトのデータベースに注入することで、eコマース・プラットフォームの完全な乗っ取りにいたる可能性があるという。

Continue reading “PrestaShop Facebook モジュールの脆弱性 CVE-2024-36680:SQLi 攻撃が発生”

PrestaShop の脆弱性 CVE-2024-34716/34717 が FIX:ただちにパッチを!

CVE-2024-34716: Critical Security Vulnerability Uncovered in PrestaShop

2024/05/16 SecurityOnline — 2007 年以降において、PrestaShop プロジェクトは、全世界で 30 万以上の Web ストアをサポートしている、オープンソースの主要な E コマース・プラットフォームである。PrestaShop は、カスタマイズ性/主要決済サービスのサポート/多言語およびローカライズされたオプション/完全なレスポンシブ・デザインで有名である。その PrestaShop が、先日に発表したのは、2つの深刻な脆弱性に対するセキュリティ・アドバイザリである。

Continue reading “PrestaShop の脆弱性 CVE-2024-34716/34717 が FIX:ただちにパッチを!”

PrestaShop の深刻な脆弱性 CVE-2023-30839 が FIX:ロール権限を破壊する SQL インジェクション

PrestaShop fixes bug that lets any backend user delete databases

2023/04/16 BleepingComputer — Eコマース・プラットフォームの OSS である、PrestaShop がリリースした新バージョンは、バックオフィス・ユーザー権限の有無には関係なく、SQL データベースの書込/更新/削除が可能となる深刻な脆弱性に対処したものだ。バックオフィス・ユーザーとは、Web サイトの管理画面にアクセスできるユーザーのことであり、そこに含まれるのは Owner/Administrator/Sales Representative/Customer Support Agent/Order Processor/Data Entry Staff などとなる。

Continue reading “PrestaShop の深刻な脆弱性 CVE-2023-30839 が FIX:ロール権限を破壊する SQL インジェクション”

PrestaShop のゼロデイ CVE-2022-36408 の悪用:オンラインストアから決済データを窃取

Hackers Exploit PrestaShop Zero-Day to Steal Payment Data from Online Stores

2022/07/25 TheHackerNews — 脅威アクターたちが、オープンソースの eコマース・プラットフォーム PrestaShop の未知の脆弱性を悪用し、機密情報の窃取を目的としたスキマー・コードを注入するという、悪質な攻撃を行っているようだ。7月22日に発表されたアドバイザリで PrestaShop は、「攻撃者は、PrestaShop を運用しているサーバー上で任意のコードを実行するために、セキュリティの脆弱性を悪用する方法を発見した」と説明している。

Continue reading “PrestaShop のゼロデイ CVE-2022-36408 の悪用:オンラインストアから決済データを窃取”