PrestaShop的Facebook插件漏洞曝光，攻击者已利用该漏洞窃取信用卡信息

近日，一个针对PrestaShop电商平台的Facebook插件——pkfacebook的重大安全漏洞被曝光。该漏洞编号为CVE-2024-36680，已被电商平台技术社群Friends Of Presta确认，并指出已有攻击者利用此漏洞进行恶意活动。

据悉，pkfacebook是一款付费插件，允许用户通过Facebook账号与电商平台进行互动，包括留言评论和通过Messenger与客服沟通。然而，该插件中的一个Ajax脚本facebookConnect.php存在敏感的SQL调用功能，导致攻击者可以发起SQL注入攻击。

Friends Of Presta社群警告说，此漏洞的CVSS风险评分高达9.8分，显示其严重性。受影响的版本包括1.0.1之前的所有版本。更令人担忧的是，该漏洞已被攻击者积极利用，在电商平台上植入侧录工具，大规模窃取信用卡资料。

由于pkfacebook插件是由Promokit.eu公司自行销售，因此目前尚不清楚具体有多少电商平台使用了该插件，也就无法确定漏洞影响的范围。这增加了潜在的风险和不确定性。

云安全公司TouchWeb在3月底就通报了这个漏洞，但当研究人员联系开发商Promokit.eu时，对方表示对此事并不了解，也未能提供有关漏洞影响的版本信息或最新版本以供研究人员验证修补情况。

面对这一严峻的安全威胁，Friends Of Presta呼吁所有使用该插件的网站管理员立即采取行动。建议的措施包括升级到最新版本的pkfacebook，并在网页应用防火墙（WAF）中启用特定规则以防范潜在的攻击。

此次事件再次提醒我们，网络安全无小事。电商平台和网站管理员需要时刻保持警惕，及时更新和修补安全漏洞，以确保用户数据的安全和隐私。