취약점 이름 :"계정 삭제"영향을 받는 Prestashop 버전의 CSRF(Cross-Site Request Forgery) :v1.6.0.4 – v1.7.6.0취약한 버전 :<3.7.8패치 버전 :3.7.8취약점 보고됨 :2019년 6월 20일취약점 패치 :2019년 6월 25일 Astra에서 Prestashop 클라이언트 중 하나에 대한 보안 감사를 수행하는 동안 PrestaShop 모듈, Data Privacy Extended(Innovadeluxe에서 개발)에서 심각한 CSRF(Cross-Site Request Forgery) 취약점을 발견했습니다. 현재 2500개 이상의 활성 설치가 있습니다. 이 취약점으로 인해 인증되지 않은 사용자는 웹에서 악성 링크를 열도록 속여 인증된 PrestaShop 사용자의 계정을 삭제할 수 있습니다.
Astra는 우려하고 책임 있는 보안 회사로서 지체 없이 개발자들에게 취약점을 보고했습니다. Innovadelux의 개발자는 신속하게 대응하고 조치를 취했습니다. 그들은 취약점을 패치하고 2019년 6월 25일에 업데이트된 버전 3.7.8을 출시했습니다.
취약점 세부정보:
데이터 개인 정보 보호 확장 모듈은 PrestaShop 웹사이트를 GDPR에 더 잘 맞추는 것으로 알려져 있습니다. 뉴스레터 구독 양식, 문의 양식, 등록 양식 등에 필요한 개인 정보 보호 동의와 같은 기능이 있습니다. 또한 주문에 대한 적절한 인보이스가 없는 경우 고객이 계정을 삭제할 수 있습니다. 따라서 계정 URL/API 삭제 엔드포인트는 CSRF(Cross Site Request Forgery)에 취약하여 해커가 로그인한 사용자를 속여서 악성 URL을 방문하거나 웹 페이지를 방문하는 것만으로 PrestaShop 계정을 삭제하도록 할 수 있습니다.기술적 세부사항:
다음은 취약점이 악용될 수 있는 방법을 나타내는 개념 증명입니다.
할 수 있는 작업:
CSRF 공격은 무섭습니다. 그들은 공격자가 신용 카드 세부 정보, 기밀 데이터베이스, 관리자 계정 등과 같은 웹 사이트의 민감한 정보를 얻을 수 있도록 합니다. 그러나 사전에 대비하면 웹 사이트에서 이러한 시도를 차단하는 데 도움이 됩니다. 다음은 웹사이트를 보호할 수 있는 몇 가지 방법입니다.1) 최신 버전으로 업데이트
플러그인 개발자는 Prestashop에서 패치 버전을 업데이트하고 출시했습니다. 업데이트되고 안전한 버전(3.7.8)으로 아직 이동하지 않은 경우 지금 업데이트하십시오. 이 외에도 CMS의 오래된 버전을 사용하는 경우 해당 버전도 업데이트하십시오.2) 방화벽에 투자
방화벽은 웹사이트의 보호 계층을 활용합니다. 우수한 웹 애플리케이션 방화벽에 투자하면 보안을 강화하고 문제를 줄이며 기본적으로 높은 투자 수익을 얻을 수 있습니다. 그러한 프리미엄 방화벽 중 하나는 Astra 방화벽입니다.CSRF, SQLi, XSS, 불량 봇, OWASP TOP 10 및 100개 이상의 웹사이트 위협을 차단합니다. 방화벽은 또한 웹사이트에 대한 지속적이고 포괄적인 모니터링 시스템을 제공합니다.
웹사이트를 보호하려면 여기를 클릭하세요.