電商平臺技術社群Friends Of Presta指出，名為pkfacebook的付費外掛程式存在重大漏洞CVE-2024-36680，使得瀏覽電商網站的訪客有機會發動SQL注入攻擊，CVSS風險評為9.8分，影響1.0.1以前的版本。值得留意的是，這項漏洞已被積極利用，攻擊者藉此在電商平臺植入側錄工具，以便大規模竊取信用卡資料。

這項由Promokit.eu打造的電商平臺PrestaShop外掛程式，主要是供用戶直接使用臉書帳號與站方互動，留下評論，或是透過Messenger與客服進行溝通。然而，由於這項外掛程式是由該公司自行銷售，他們並未透露採用該外掛程式的網站數量，究竟有多少電商網站曝險，目前仍不得而知。

而對於這項漏洞發生的原因，Friends Of Presta社群指出，起因是此外掛程式當中的Ajax指令碼facebookConnect.php含有敏感的SQL呼叫功能，攻擊者可執行簡單的HTTP呼叫，利用漏洞來偽造SQL注入攻擊。

值得留意的是，攻擊者想要利用這項漏洞的難度不高，不需事先取得權限，且過程中無須使用者互動。攻擊者很有可能藉此得到管理員權限、清除與電商平臺PrestaShop有關的資料、覆寫SMTP組態來挾持電子郵件，甚至還能從敏感的資料表複製資料至前端，藉此曝露憑證並解開管理員的Ajax指令碼。

這項漏洞由雲端資安業者TouchWeb在3月底通報，但當研究人員聯絡開發廠商Promokit.eu，對方僅表示這是很久以前的事情，並不清楚那些版本的pkfacebook曝險，也不願提供研究人員最新版本，以便確認是否完成修補。

對此，Friends Of Presta呼籲網站管理者要儘速採取行動因應，這些措施包括：使用最新版本的pkfacebook，以及在網頁應用程式防火牆（WAF）啟動特定規則。