भेद्यता नाम :"खाता हटाएं" में सीएसआरएफ (क्रॉस-साइट अनुरोध जालसाजी)प्रभावित Prestashop संस्करण :v1.6.0.4 - v1.7.6.0असुरक्षित संस्करण :<3.7.8पैच किया गया संस्करण :3.7.8भेद्यता की रिपोर्ट की गई :20 जून 2019भेद्यता पैच किया गया :25 जून 2019एस्ट्रा में हमारे Prestashop क्लाइंट में से एक पर सुरक्षा ऑडिट करने के दौरान, मुझे PrestaShop मॉड्यूल, डेटा प्राइवेसी एक्सटेंडेड (इनोवेडेलक्स द्वारा विकसित) में एक महत्वपूर्ण CSRF (क्रॉस-साइट रिक्वेस्ट फोर्जरी) भेद्यता मिली। वर्तमान में इसके 2500 से अधिक सक्रिय इंस्टॉलेशन हैं। इस भेद्यता के कारण, एक अनधिकृत उपयोगकर्ता वेब पर दुर्भावनापूर्ण लिंक खोलने के लिए धोखा देकर एक प्रमाणित PrestaShop उपयोगकर्ता के खाते को हटा सकता है।
एक संबंधित और जिम्मेदार सुरक्षा कंपनी के रूप में, एस्ट्रा ने बिना किसी देरी के डेवलपर्स को भेद्यता की सूचना दी। Innovadeluxe के डेवलपर्स ने तुरंत प्रतिक्रिया दी और अपनी कार्रवाई में शीघ्रता की। उन्होंने भेद्यता को ठीक किया और 25 जून 2019 को अद्यतन संस्करण 3.7.8 जारी किया।
भेद्यता विवरण:
डेटा प्राइवेसी एक्सटेंडेड मॉड्यूल PrestaShop वेबसाइटों को GDPR के साथ अधिक संरेखित करने के लिए जाना जाता है। इसमें न्यूजलेटर सब्सक्रिप्शन फॉर्म, कॉन्टैक्ट फॉर्म, रजिस्टर फॉर्म आदि में आवश्यक गोपनीयता सहमति जैसी विशेषताएं हैं। साथ ही, यह अपने ग्राहकों को उनके खातों को हटाने की भी अनुमति देता है यदि ऑर्डर किए गए ऑर्डर के लिए उचित चालान नहीं हैं। तो, खाता हटाएं यूआरएल/एपीआई एंडपॉइंट सीएसआरएफ (क्रॉस साइट रिक्वेस्ट फोर्जरी) के लिए असुरक्षित था, जो एक हैकर को केवल एक दुर्भावनापूर्ण यूआरएल पर जाकर/वेब पेज पर जाकर अपने प्रेस्टाशॉप खाते को हटाने के लिए लॉग इन उपयोगकर्ता को धोखा देने की अनुमति देगा।तकनीकी विवरण:
यहां अवधारणा का एक प्रमाण दिया गया है जो दर्शाता है कि भेद्यता का शोषण कैसे किया जा सकता था,
आप क्या कर सकते हैं:
सीएसआरएफ हमले डरावने हैं; वे एक हमलावर को आपकी वेबसाइट की संवेदनशील जानकारी जैसे क्रेडिट कार्ड विवरण, गोपनीय डेटाबेस, व्यवस्थापक खाता इत्यादि को पकड़ने देते हैं। लेकिन, पहले से तैयार होने से आपको अपनी वेबसाइट पर ऐसे प्रयासों को रोकने में मदद मिल सकती है। निम्नलिखित कुछ तरीके हैं जिनसे आप अपनी वेबसाइट की सुरक्षा कर सकते हैं:1) नवीनतम संस्करण में अपडेट करें
प्लगइन डेवलपर्स ने Prestashop पर पैच किए गए संस्करण को अपडेट और जारी किया है। यदि आप अद्यतन और सुरक्षित संस्करण (3.7.8) में नहीं गए हैं, तो अभी अपडेट करें। इसके अलावा, यदि आप सीएमएस के पुराने संस्करण का उपयोग कर रहे हैं, तो उसे भी अपडेट करें।2) फ़ायरवॉल में निवेश करें
फ़ायरवॉल आपकी वेबसाइट पर एक सुरक्षात्मक परत का लाभ उठाता है। एक अच्छे वेब एप्लिकेशन फ़ायरवॉल में निवेश करने से आपको बढ़ी हुई सुरक्षा, कम समस्याएं, मूल रूप से निवेश पर उच्च रिटर्न मिल सकता है। ऐसा ही एक प्रीमियम फ़ायरवॉल एस्ट्रा फ़ायरवॉल है।यह आपकी वेबसाइट पर आने वाले CSRF, SQLi, XSS, खराब बॉट्स, OWASP TOP 10 और 100+ अन्य खतरों को रोकता है। फ़ायरवॉल आपकी वेबसाइट के लिए एक सतत और व्यापक निगरानी प्रणाली भी प्रदान करता है।
अपनी वेबसाइट की सुरक्षा के लिए यहां क्लिक करें।