ហេគឃ័រកំពុងតែកេងចំណេញលើបញ្ហានៅក្នុង Premium Facebook Module លើ E-Commerce Platform PrestaShop ឈ្មោះកម្មវិធី Pkfacebook ដើម្បីដាក់ពង្រាយការវាយប្រហារលើគេហទំព័រ E-Commerce ដែលងាយរងគ្រោះ និងលួចព័ត៌មានលម្អិតនៃការបង់ប្រាក់តាមក្រេឌីតកាតរបស់អ្នកប្រើប្រាស់។
ផ្លេតហ្វម PrestaShop គឺជាផ្លេតហ្វមពាណិជ្ជកម្មអេឡិចត្រូនិច Open-Source ដែលអនុញ្ញាតឱ្យបុគ្គល និងអាជីវកម្មបង្កើត ព្រមទាំងការគ្រប់គ្រងលើហាងទំនិញអនឡាញ។ នៅឆ្នាំ២០២៤ ផ្លេតហ្វមនេះមានហាងទំនិញអនឡាញប្រមាណជា ៣០០ពាន់បានប្រើប្រាស់នៅទូទាំងពិភពលោក។ កម្មវិធី Pkfacebook Add-On របស់ Promokit គឺជាម៉ូឌុល (Module) ដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់អាចចូលទៅកាន់ហាងទំនិញ (log in) ដោយប្រើគណនីហ្វេសប៊ុករបស់ពួកគេ សម្រាប់សរសេរ Comments ក្រោមទំព័ររបស់ហាងទំនិញ និងទំនាក់ទំនងជាមួយទីភ្នាក់ងារបម្រើសេវាដោយប្រើកម្មវិធី Messenger។
Promokit មានអ្នកលក់ជាង ១២,៥ពាន់នៅលើទីផ្សារ Envato Market ប៉ុន្តែ Facebook Module តែមួយគត់ត្រូវបានលក់តាមរយៈគេហទំព័ររបស់អ្នកលក់ (Vendor) និងពុំមានចំនួនលក់ជាក់លាក់នៅឡើយទេ។ បញ្ហាដ៏សំខាន់នោះគឺ CVE-2024-36680 នៅក្នុងភាពងាយរងគ្រោះ SQL injection នៅក្នុង Pkfacebook’s facebookConnect.php Ajax script ដែលអនុញ្ញាតឱ្យហេគឃ័រអាចធ្វើការបញ្ជាបានពីចម្ងាយដើម្បីជំរុញ SQL injection ដោយប្រើប្រាស់ HTTP Requests។ អ្នកវិភាគនៅក្រុមហ៊ុន TouchWeb បានរកឃើញបញ្ហានេះកាលពីចុងខែមីនា ឆ្នាំ២០២៤ ប៉ុន្តែ Promokit.eu បានថ្លែងថា កំហុសនេះត្រូវបានជួសជុល “យូរណាស់មកហើយ” ដោយពុំមានភស្តុតាងបញ្ជាក់ណាមួយឡើយ។ កាលពីដើមសប្តាហ៍នេះ Friends-of-Presta បានបោះចេញនូវការកេងចំណេញ Proof-of-concept ចំពោះបញ្ហា CVE-2024-36680 និងបានព្រមានថា មានការកេងចំណេញយ៉ាងសកម្មលើកំហុសទាំងនេះ។
អង្គការ Friends-of-Presta បានថ្លែងថា បញ្ហានេះត្រូវបានប្រើប្រាស់យ៉ាងសកម្មសម្រាប់ការដាក់ពង្រាយក្នុងការវាយប្រហារលើវេប ដើម្បីលួចក្រេឌីតកាត។ វាពិតជាដំណឹងអាក្រក់ណាស់ អ្នកអភិវឌ្ឍមិនបានចែករំលែកជាមួយនឹងអង្គការ Friends-of-Presta ដើម្បីបញ្ជាក់ពីបញ្ហាដែលត្រូវបានដោះស្រាយនោះទេ។ អង្គការ Friends-of-Presta កត់សម្គាល់ថា គ្រប់ជំនាន់ (All Versions) គួរតែត្រូវបានចាត់ទុកថារងផលប៉ះពាល់ និងត្រូវបានណែនាំឱ្យកាត់បន្ថយគ្រោះថ្នាក់ដោយ៖
– Upgrade ទៅកាន់ Pkfacebook ជំនាន់ចុងក្រោយ បើទោះជាមិនអាចដំណើរការមុខងារចម្រុះក្តី និងមិនអាចការពារពីការចាក់បញ្ចូល SQL ដោយប្រើ UNION Clause ក្តី។
– គួរតែធានាថា pSQL ត្រូវបានប្រើប្រាស់ដើម្បីគេចពីភាពងាយរងគ្រោះ Stored XSS ដោយសារតែវាមានរួមបញ្ចូល Strip_Tages Fuction សម្រាប់បន្ថែមសុវត្ថិភាព។
– Modify the Default “ps_” Prefix to a Longer ដើម្បីជំរុញសុវត្ថិភាព បើទោះជាវិធានការនេះមិនអាចទប់ស្កាត់នឹងហេគឃ័រដែលមានជំនាញខ្ពស់ក្តី។
– Activate OWASP 942 rules នៅលើ Web Application Firewall (WAF)
នៅក្នុងបញ្ជីរបស់ NVD បង្ហាញថា បញ្ហា CVE-2024-36680 ត្រូវបានកំណត់ថា មាននៅគ្រប់ជំនាន់ទាំងអស់តាំងពី 1.0.1 និងចាស់ជាងនេះថា មានគ្រោះថ្នាក់។ ប៉ុន្តែ ជំនាន់ចុងក្រោយដែលមាននៅក្នុងបញ្ជី Promokit’s Site, 1.0.0 នោះមាន Patch មិនប្រាកដថាមានបញ្ហាទេ។ ហេគឃ័រត្រួតពិនិត្យលើបញ្ហា SQL Injection យ៉ាងជិតស្និទ្ធ ដោយសារតែវាប៉ះពាល់ដល់ Webshop Platforms និងអាចត្រូវបានប្រើសម្រាប់ទទួលបានសិទ្ធិជាអ្នកគ្រប់គ្រងដើម្បីអាចចូលប្រើប្រាស់ ឬកែប្រែទិន្នន័យនៅលើគេហទំព័រ អាចទាញយក Database Contents និងការសរសេរ (rewrite) SMTP Setting ឡើងវិញដើម្បីលួចអ៊ីម៉ែល។ កាលពីពីរឆ្នាំមុន PrestaShop បានចេញសារព្រមាន និងជួសជុលបញ្ហាជាបន្ទាន់ដើម្បីទប់ស្កាត់ការវាយប្រហារ ដែលមានគោលដៅលើភាពងាយរងគ្រោះ Modules សម្រាប់ចាក់បញ្ចូល SQL រួមទាំងប្រតិបត្តិការកូដបានជោគជ័យនៅលើគេហទំព័រគោលដៅ៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៣ ខែមិថុនា ឆ្នាំ២០២៤
