Уязвимость модуля Jms Blog (jmsblog) веб-приложения для электронной коммерции с открытым кодом PrestaShop связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольный SQL-запрос
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
1. Обновите PrestaShop до последней версии, чтобы отключить выполнение нескольких запросов (через «;») — однако эта функция НЕ защитит от внедрения SQL, который использует предложение UNION для несанкционированного доступа к данным.
2. Измените префикс базы данных по умолчанию ps_на новый, более длинный произвольный префикс. Однако, эта мера не применима к нарушителям с правами администратора базы данных из-за конструктивной уязвимости в СУБД.
3. Активируйте правила OWASP 942 на вашем WAF (брандмауэре веб-приложений).
Использование рекомендаций:
https://security.friendsofpresta.org/modules/2023/03/13/jmsblog.html
| Балл | 10 — критическая опасность |