PrestaShop Facebook插件漏洞曝光，信用卡信息安全受威胁

近期，PrestaShop电商平台的Facebook插件 pkfacebook 被曝存在重大安全漏洞，编号为 CVE-2024-36680。该漏洞已被Friends Of Presta技术社区确认，并有证据显示，攻击者正在利用这一漏洞窃取信用卡信息，给用户数据安全带来了巨大隐患。

漏洞详情

• 插件功能： pkfacebook是一款付费插件，允许用户通过Facebook账号与电商平台互动，如留言、评论及通过Messenger联系客服。

  

• 漏洞问题： 插件中的Ajax脚本 facebookConnect.php 存在敏感的SQL调用功能，导致可被攻击者利用进行SQL注入。

• 风险评级： CVSS风险评分高达 9.8分，显示漏洞极高的危害性。

• 受影响版本： 1.0.1之前的所有版本。

攻击现状

攻击者已利用该漏洞在部分电商平台植入侧录工具，窃取大量信用卡信息，给用户和商户造成严重财产损失。由于pkfacebook插件由 Promokit.eu 销售，目前尚未明确漏洞影响范围，进一步加剧了安全隐患。

开发商与研究反馈

云安全公司TouchWeb早在3月底便向开发商Promokit.eu通报该漏洞。然而，开发商对漏洞详情的了解有限，未能及时提供补丁信息或验证修复版本，这使得漏洞的修复进程受到延误。

安全建议

Friends Of Presta技术社区强烈建议使用该插件的电商平台采取以下措施：

1. 立即升级插件： 确保pkfacebook插件更新至最新版本，以修补已知漏洞。

2. 启用防火墙规则： 在网页应用防火墙（WAF）中配置特定规则，防范SQL注入攻击。

3. 检查日志和系统安全： 定期审查系统日志，确认是否存在异常访问或数据泄露的迹象。

4. 停用插件： 如果短期内无法确认补丁有效性，建议停用插件以降低风险。

总结

此次漏洞事件再次凸显网络安全的重要性，特别是在涉及用户敏感信息的场景下，及时更新和修复安全漏洞尤为关键。PrestaShop用户需高度警惕，确保平台安全配置与插件使用符合安全标准。

如需了解更多安全信息或技术支持，请联系：

• 官网： bifu.us

• Telegram 客服： @Bifuapp

保障数据安全，共筑网络防线。