CVE-2023-46347 — 神龙十问 AI 深度分析摘要
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:SQL注入漏洞 (SQLi) 📉 **后果**:攻击者可窃取数据库敏感信息、篡改数据,甚至控制服务器。 💡 **核心**:函数 `NdkSpack::getPacks()` 未对用户输入进行严格过滤。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:数据中未提供具体CWE ID。 🛠️ **缺陷点**:`ndk_steppingpack` 模块中的 `getPacks()` 函数存在逻辑缺陷,导致SQL语句拼接不安全。
Q3影响谁?(版本/组件)
🎯 **受影响组件**:PrestaShop 模块 “Step by Step products Pack” (ndk_steppingpack)。 📦 **版本范围**:版本 **1.5.6 及之前** 的版本。 🏢 **厂商**:NDK Design。
Q4黑客能干啥?(权限/数据)
🕵️ **黑客权限**:无需登录(Guest/访客即可利用)。 💾 **数据风险**:可执行任意SQL查询,导致 **数据泄露**、**数据篡改** 或 **远程代码执行**(视数据库配置而定)。
Q5利用门槛高吗?(认证/配置)
🚪 **利用门槛**:**极低**。 🔑 **认证要求**:**无需认证**,匿名访客(Guest)即可触发。 ⚙️ **配置要求**:仅需安装并启用该特定模块。
Q6有现成Exp吗?(PoC/在野利用)
📜 **现成Exp**:**有**。 🔗 **PoC来源**:ProjectDiscovery Nuclei 模板已收录(CVE-2023-46347.yaml)。 🌍 **在野利用**:数据未明确提及,但PoC公开意味着自动化攻击风险高。
Q7怎么自查?(特征/扫描)
🔎 **自查特征**:检查PrestaShop后台是否安装了 `ndk_steppingpack` 模块。 📊 **扫描建议**:使用 Nuclei 模板 `http/cves/2023/CVE-2023-46347.yaml` 进行自动化扫描。 👀 **关注点**:针对 `getPacks` 接口的SQL注入测试。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:数据中未提供具体补丁链接或版本号。 📢 **建议**:参考 Friends of Presta 安全公告获取最新修复指南,通常需升级模块至修复版本。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**: 1. **禁用/卸载** `ndk_steppingpack` 模块。 2. 若无直接卸载权限,暂时 **关闭前台访问** 或限制该功能入口。 3. 部署 **WAF** 拦截SQL注入特征流量。
Q10急不急?(优先级建议)
🔥 **优先级**:**高**。 ⏱️ **理由**:无需认证即可利用,且PoC已公开,自动化攻击极易发生。 🚀 **行动**:立即检查模块版本,优先卸载或升级受影响模块。