Criminelen maken misbruik van een combinatie van bekende en onbekende kwetsbaarheden in e-commerceplatform PrestaShop om webwinkels aan te vallen en te voorzien van malafide betaalpagina's die creditcardgegevens van klanten naar de aanvallers sturen. Zo'n 300.000 webshops wereldwijd draaien op PrestaShop.

Door middel van onder andere SQL Injection kunnen de aanvallers willekeurige code uitvoeren op de servers waarop de PrestaShop-webwinkel draait, zo stelt het ontwikkelteam. Bij de nu waargenomen aanvallen gebruiken de aanvallers de kwetsbaarheden om klantgegevens waaronder creditcarddata te stelen. De beveiligingslekken zijn aanwezig in PrestaShop 1.6.0.10 en nieuwer. Versie 1.7.8.2 en nieuwer zijn niet kwetsbaar, tenzij ze een module of custom code draaien die wel kwetsbaar is. Versies 2.0.0~2.1.0 van de Wishlist (blockwishlist) module zijn ook kwetsbaar.

Volgens PrestaShop maken de aanvallers gebruik van een onbekende "vulnerability chain" voor het uitvoeren van de aanval, waarbij ze mogelijk de MySQL Smarty cache storage features als onderdeel van de aanval gebruiken. Inmiddels heeft PrestaShop versie 1.7.8.7 uitgerold die de MySQL Smarty cache storage tegen het injecteren van code moet beschermen.

Het PrestaShop-ontwikkelteam roept alle webwinkels op om de update te installeren, maar stelt ook dat niet kan worden uitgesloten dat de aanval ook op andere manieren is uit te voeren. Daarnaast doet de update vermoedelijk weinig voor webshops die al zijn gecompromitteerd. Verder laten de ontwikkelaars weten dat de MySQL Smarty cache storage een legacy feature is die in toekomstige versies van het e-commerceplatform wordt verwijderd.