Onlineshop-System PrestaShop: Angreifer könnten Datenbank manipulieren
Eine kritische Sicherheitslücke bedroht mit PrestaShop erstellte Onlineshops. Abgesicherte Versionen sind verfügbar.
(Bild: Sashkin/Shutterstock.com)
Admins von Onlineshops, die auf die Open-Source-E-Commerce-Plattform PrestaShop aufbauen, sollten ihre Systeme zeitnah auf den aktuellen Stand bringen. Geschieht dies nicht, könnten Angreifer an mehreren Sicherheitslücken ansetzen.
Eigenen Angaben zufolge weist das Shopsystem 300.000 Installationen auf, die nun potenziell angegriffen werden könnten.
Datenmanipulation
Als besonders gefährlich gilt eine „kritische“ Sicherheitslücke (CVE-2023-30839), die unberechtigte Datenbankzugriffe ermöglichen soll. Klappen Attacken, könnten Angreifer Einträge manipulieren oder sogar die gesamte Datenbank löschen. Wie aus einem Beitrag hervorgeht, soll das aber nur möglich sein, wenn der Zugriff auf das Admin-Panel (Back Office) gegeben ist.
Das klingt eigentlich nach einer großen Hürde, dennoch ist die Lücke als kritisch eingestuft. Ist das gegeben, soll jeder Nutzer, egal, mit welchen Rechten, auf die Datenbank zugreifen können. Wie Attacken im Detail ablaufen könnten, ist bislang nicht bekannt.
Die Entwickler geben an, das Sicherheitsproblem in den Versionen 1.7.8.9 und 8.0.4 gelöst zu haben. Alle vorigen Ausgaben sollen verwundbar sein.
Weitere Schwachstellen
Darüber hinaus haben die Entwickler noch zwei weitere Sicherheitslücken geschlossen. So könnten Angreifer mit Zugriff auf den SQL-Manager eigentlich abgeschottete Daten einsehen (CVE-2023-30545 „hoch“).
Das erfolgreich Ausnutzen der dritten Lücke (CVE-2023-30838 „hoch“) könnte zu einer XSS-Attacke führen. Das Problem ist eine nicht ausreichende Überprüfung von Eingaben in der ValidateCore::isCleanHTML()-Methode. Auch hier schaffen die beiden bereits genannten abgesicherten Versionen Abhilfe.
(des)