黑客利用PrestaShop Zero Day从网上商店窃取支付数据

该公司在7月22日发布的一份公告中指出：“攻击者已找到一种方法，利用安全漏洞在运行PrestaShop网站的服务器上执行任意代码”。

PrestaShop被宣传为欧洲和拉丁美洲领先的开源电子商务解决方案，全球近30万在线商家使用。

感染的目的是引入能够窃取客户在结账页面上输入的付款信息的恶意代码。使用过时软件版本或其他易受攻击的第三方模块的商店似乎是主要目标。

PrestaShop的维护人员还表示，他们在其服务中发现了一个零天缺陷，他们表示该缺陷已在1.7.8.7版本中得到解决，不过他们警告说，“我们不能确定这是他们执行攻击的唯一方式”。

PrestaShop指出：“此安全修复程序增强了MySQL Smarty缓存存储的抗代码注入攻击能力”。“出于向后兼容的原因，保留了此旧功能，并将从未来的PrestaShop版本中删除”。

问题是影响版本1.6.0.10或更高版本的SQL注入漏洞，正在跟踪CVE-2022-36408。

成功利用该漏洞可使攻击者提交巧尽心思构建的请求，从而能够执行任意指令，在这种情况下，在结账页面上注入虚假付款表单以收集信用卡信息。

在此之前，针对餐厅订购平台MenuDrive、Harbortouch和InTouchPOS的Magecart攻击浪潮，导致至少311家餐厅受损。