Shopsystem: Kritische Sicherheitslücke in Prestashop wird angegriffen
Eine kritische Sicherheitslücke klafft im Shopping-System Prestashop. Angreifer missbrauchen sie bereits. Ein aktueller Softwarestand schützt.
(Bild: Panorama Images/Shutterstock.com)
Im Online-Shopsystem Prestashop klafft eine kritische Sicherheitslücke, durch die nicht angemeldete Angreifer aus dem Netz das System vollständig kompromittieren können. Cyberkriminelle missbrauchen die Schwachstelle bereits, um in großem Stil Kreditkartendaten anzugreifen.
Prestashop: Kritische Lücke mangels Filterung
Bei der Suche nach Produkten in Prestashop kommt die Posthemes-Komponente zum Einsatz. Die filtert Eingaben nicht ausreichend, die in einer SQL-Abfrage landen. Dadurch können sogar Gäste manipulierte Abfragen einschleusen. Die Methode PosSearch::find() enthält sensible SQL-Aufrufe, die mit einer http-Anfrage ausgeführt und für eine SQL-Injection ausgenutzt werden können, erklären die Autoren der Sicherheitsmeldung (CVE-2023-30192, CVSS 9.8, Risiko "kritisch").
Besonders perfide dabei: Das Deaktivieren von Posthemes genügt nicht, die Schwachstelle lässt sich dann immer noch ausnutzen. Den Meldungsautoren zufolge wird die Lücke aktiv ausgenutzt, um sogenannte Webskimmer in verwundbare Webshops einzuschleusen, mit denen die Betrüger Kreditkarteninformationen stehlen.
Welche Versionen genau betroffen sind, ist der Sicherheitsmeldung zufolge von den Entdeckern nicht genauer präzisiert worden. Es gibt jedoch einen Patch für Prestashop 1.7. Die Empfehlung lautet, entweder den Patch anzuwenden oder die Shop-Software auf eine Version neuer als 1.7.8.8 und 8.0.1 zu aktualisieren. Aktuell sind die Fassungen 1.7.8.9 und 8.0.4. Da die Lücke bereits aktiv angegriffen wird, haben sich die Autoren der Meldung vor weiteren Präzisierungen durch den Entdecker der Lücke zur Veröffentlichung entschieden. Verwalter von Prestashop-Instanzen sollten spätestens jetzt zügig das Update auf die aktualisierten Softwarestände vornehmen.
Vor rund zwei Wochen haben die Entwickler bereits kritische Sicherheitslücken im Prestashop geschlossen. Wer den Softwarestand dort bereits aktualisiert hat, sollte der Sicherheitsmeldung zufolge auf der sicheren Seite sein.
(dmk)
