关键信息摘要 漏洞标识 CVE ID: CVE-2023-30199 发布日期: 2023-05-16 影响范围 平台: PrestaShop 产品: customexporter 影响版本: <= 1.7.20 (修复版本:1.7.21) 产品作者: Webbax 漏洞详情 弱点类型: CWE-22 (不当限制路径名到受限目录) 严重性: 高 (7.5),违反GDPR CVSS评分: - 基本向量: - 攻击向量: 网络 - 攻击复杂度: 低 - 特权需求: 无 - 用户交互: 无 - 范围: 不变 - 机密性: 高 - 完整性: 无 - 可用性: 无 利用风险 通过路径遍历下载个人数据,无需限制 从admin控制器盗窃秘密以解锁基于ajax脚本的管理控制器 泄露所有模块及其版本以方便渗透测试 窃取table_prefix以方便SQL注入,或者窃取数据库访问以登录暴露的PHPMyAdmin/Adminer等 绕过WAF或htaccess控制以读取受限制的文件(如银行模块内部/log/路径中的日志) 修复措施 升级至customexporter的最新版本 限制对模块的访问,将其限定在白名单中 绝不暴露PHPMyAdmin/Adminer等,除非至少设置了.htpasswd 遵循OWASP 930规则调整你的WAF(网站应用防火墙)设置以适用于你的PrestaShop 修复代码示例 时间线 2023-02-25: TouchWeb.fr在代码审查中发现漏洞 2023-04-24: 收到CVE ID 2023-05-02: 发布修复漏洞的新版本 2023-05-16: 发布此安全咨询公告 警告 该漏洞自2023年3月30日起被利用。