电商平台技术社群Friends Of Presta指出，名为pkfacebook的付费插件程序存在重大漏洞CVE-2024-36680，使得浏览电商网站的访客有机会发动SQL注入攻击，CVSS风险评为9.8分，影响1.0.1以前的版本。值得留意的是，这项漏洞已被积极利用，攻击者借此在电商平台植入侧录工具，以便大规模窃取信用卡数据。

这项由Promokit.eu打造的电商平台PrestaShop插件程序，主要是供用户直接使用脸书帐号与站方交互，留下评论，或是通过Messenger与客服进行沟通。然而，由于这项插件程序是由该公司自行销售，他们并未透露采用该插件程序的网站数量，究竟有多少电商网站曝险，目前仍不得而知。

而对于这项漏洞发生的原因，Friends Of Presta社群指出，起因是此插件程序当中的Ajax脚本facebookConnect.php含有敏感的SQL调用功能，攻击者可运行简单的HTTP调用，利用漏洞来伪造SQL注入攻击。

值得留意的是，攻击者想要利用这项漏洞的难度不高，不需事先取得权限，且过程中无须用户交互。攻击者很有可能借此得到管理员权限、清除与电商平台PrestaShop有关的数据、覆写SMTP组态来挟持电子邮件，甚至还能从敏感的数据表拷贝数据至前端，借此曝露凭证并解开管理员的Ajax脚本。

这项漏洞由云端资安业者TouchWeb在3月底通报，但当研究人员联系开发厂商Promokit.eu，对方仅表示这是很久以前的事情，并不清楚那些版本的pkfacebook曝险，也不愿提供研究人员最新版本，以便确认是否完成修补。

对此，Friends Of Presta呼吁网站管理者要尽速采取行动因应，这些措施包括：使用最新版本的pkfacebook，以及在网页应用程序防火墙（WAF）启动特定规则。