ГлавнаяБаза уязвимостей БДУ → BDU:2023-07310
10критическая

BDU:2023-07310

Уязвимость модуля Jms Blog (jmsblog) веб-приложения для электронной коммерции с открытым кодом PrestaShop, позволяющая нарушителю выполнять произвольный SQL-запрос
Опубликовано: 2023-10-30
Описание

Уязвимость модуля Jms Blog (jmsblog) веб-приложения для электронной коммерции с открытым кодом PrestaShop связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольный SQL-запрос

Затрагиваемое ПО и версии
Jms Blog (jmsblog) (2.5.5)Jms Blog (jmsblog) (2.5.6)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
1. Обновите PrestaShop до последней версии, чтобы отключить выполнение нескольких запросов (через «;») — однако эта функция НЕ защитит от внедрения SQL, который использует предложение UNION для несанкционированного доступа к данным.
2. Измените префикс базы данных по умолчанию ps_на новый, более длинный произвольный префикс. Однако, эта мера не применима к нарушителям с правами администратора базы данных из-за конструктивной уязвимости в СУБД.
3. Активируйте правила OWASP 942 на вашем WAF (брандмауэре веб-приложений).

Использование рекомендаций:
https://security.friendsofpresta.org/modules/2023/03/13/jmsblog.html

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://friends-of-presta.github.io/security-advisories/modules/2023/03/13/jmsblog.htmlhttps://security.friendsofpresta.org/modules/2023/03/13/jmsblog.html
Проверьте безопасность своего сайта и почты → Полная проверка домена