Atacantes descubren un zero day en PrestaShop que permite robar los datos de pago de los usuarios de las tiendas online. La vulnerabilidad, ahora conocida por su identificador CVE ‘CVE-2022-36408’, posibilitaba la ejecución de código arbitrario en los servidores que alojaban los sitios web de Prestashop que presentaban versiones anticuadas del software.
El modus operandi hasta el momento ha sido similar: Los atacantes explotaban la falla y, una vez obtenida la capacidad de ejecutar código arbitrario, inyectaban formularios de pago no legítimos para recopilar la información de pago de los usuarios.
Desde PrestaShop aseguran haber localizado la vulnerabilidad y que a partir de la versión 1.7.8.7 supuestamente había sido solucionada. Sin embargo, también afirmaron que en las nuevas versiones del software existen características heredadas que se mantienen por motivos de compatibilidad con versiones anteriores y que podrían posibilitar la existencia de otras vías para llevar a cabo el ataque