ネットワークセキュリティー
 Computer >> コンピューター >  >> ネットワーキング >> ネットワークセキュリティー

PrestaShop アドオン – 「Data Privacy Extended (ver3.7.8) CSRF に対して脆弱」

プラグイン名 :拡張されたデータプライバシー (データ保護法) – GDPR モジュール
脆弱性の名前 :「アカウントの削除」の CSRF (クロスサイト リクエスト フォージェリ) 影響を受ける Prestashop のバージョン :v1.6.0.4 – v1.7.6.0脆弱なバージョン :<3.7.8パッチを適用したバージョン :3.7.8報告された脆弱性 :2019 年 6 月 20 日脆弱性にパッチを適用 :2019 年 6 月 25 日 Astra で Prestashop クライアントの 1 つでセキュリティ監査を行っているときに、PrestaShop モジュールである Data Privacy Extended (Innovadeluxe が開発) に重大な CSRF (クロスサイト リクエスト フォージェリ) 脆弱性を発見しました。現在、2500 以上のアクティブなインストールがあります。この脆弱性により、認証されていないユーザーは、認証された PrestaShop ユーザーをだまして Web 上の悪意のあるリンクを開かせることにより、そのユーザーのアカウントを削除する可能性があります。

懸念と責任を負うセキュリティ会社として、Astra は遅滞なく開発者に脆弱性を報告しました。 Innovadeluxe の開発者は迅速に対応し、迅速に対応してくれました。彼らは脆弱性にパッチを当て、2019 年 6 月 25 日に更新されたバージョン 3.7.8 をリリースしました。

脆弱性の詳細:

Data Privacy Extended モジュールは、PrestaShop Web サイトを GDPR により適合させることが知られています。ニュースレターの購読フォーム、連絡フォーム、登録フォームなどで必要なプライバシー同意などの機能があります。さらに、注文に対して適切な請求書がない場合、顧客は自分のアカウントを削除することもできます。そのため、アカウント削除 URL/APIエンドポイントは CSRF (クロス サイト リクエスト フォージェリ) に対して脆弱であり、ハッカーが悪意のある URL にアクセスする/Web ページにアクセスするだけで、ログインしているユーザーをだまして PrestaShop アカウントを削除することができます。

技術的な詳細:

以下は、脆弱性がどのように悪用された可能性があるかを示す概念実証です。

できること:

CSRF 攻撃は恐ろしいものです。攻撃者は、クレジット カードの詳細、機密データベース、管理者アカウントなどの Web サイトの機密情報を入手できます。以下は、Web サイトを保護するためのいくつかの方法です。

1) 最新バージョンへの更新

プラグインの開発者は、Prestashop でパッチを適用したバージョンを更新してリリースしました。更新されたより安全なバージョン (3.7.8) に移行していない場合は、今すぐ更新してください。これに加えて、古いバージョンの CMS を使用している場合は、それも更新してください。

2) ファイアウォールに投資する

ファイアウォールは、Web サイトの保護レイヤーを活用します。優れた Web アプリケーション ファイアウォールに投資することで、セキュリティが強化され、問題が軽減され、基本的に高い投資収益率が得られます。そのようなプレミアム ファイアウォールの 1 つが Astra Firewall です。

CSRF、SQLi、XSS、悪意のあるボット、OWASP TOP 10、および Web サイトで発生する 100 以上のその他の脅威をブロックします。ファイアウォールは、Web サイトの継続的かつ包括的な監視システムも提供します。

あなたのウェブサイトを保護するには、ここをクリックしてください。

  1. もう 1 つのデータ プライバシー スキャンダル:私たちはより慎重になっているのではないでしょうか?

    データ侵害のもう 1 つの失敗と、何だと思いますか? Facebook と Twitter のユーザーは大きな影響を受けています。これらすべてのデータ スキャンダルの後、私たちはより慎重になっているのでしょうか、それとも企業はこれらの継続的な侵害を真剣に受け止めていないのでしょうか? 昨日、Facebook と Twitter は、何百人ものユーザーが自分のアカウントを使用して特定のサードパーティ アプリにログインした後、その個人データが不正にアクセスされた可能性があると発表しました。彼らが話している特定のアプリには、Giant Square と Photofy が含まれます。不適切にアク

  2. Android での合理的なプライバシーに関するガイド

    数週間前、私は自分用に Android フォンを購入しました。かなり素敵な Moto G6 です。この購入の主な目的は、最も優雅でエレガントなデザインの携帯電話であり続ける私の超素晴らしいLumia 950のような、残念ながら避けられないように思われるWindow Phoneの終焉の代わりとして、日常のニーズにAndroidを使用しなければならない可能性をテストすることでした。オペレーティング システム、まともなプライバシーが含まれています。 Android への切り替えには、プライバシーに関する多くの疑問も伴います。私は兄貴のナンセンス全体にあまり悩まされていませんが、このトピックの焦点を