电商平台技术社群Friends Of Presta指出，名为pkfacebook的付费外挂程式存在重大漏洞CVE-2024-36680，使得浏览电商网站的访客有机会发动SQL注入攻击，CVSS风险评为9.8分，影响1.0.1以前的版本。值得留意的是，这项漏洞已被积极利用，攻击者借此在电商平台植入侧录工具，以便大规模窃取信用卡资料。

这项由Promokit.eu打造的电商平台PrestaShop外挂程式，主要是供用户直接使用脸书帐号与站方互动，留下评论，或是透过Messenger与客服进行沟通。然而，由于这项外挂程式是由该公司自行销售，他们并未透露采用该外挂程式的网站数量，究竟有多少电商网站曝险，目前仍不得而知。

而对于这项漏洞发生的原因，Friends Of Presta社群指出，起因是此外挂程式当中的Ajax指令码facebookConnect.php含有敏感的SQL呼叫功能，攻击者可执行简单的HTTP呼叫，利用漏洞来伪造SQL注入攻击。

值得留意的是，攻击者想要利用这项漏洞的难度不高，不需事先取得权限，且过程中无须使用者互动。攻击者很有可能借此得到管理员权限、清除与电商平台PrestaShop有关的资料、覆写SMTP组态来挟持电子邮件，甚至还能从敏感的资料表复制资料至前端，借此曝露凭证并解开管理员的Ajax指令码。

这项漏洞由云端资安业者TouchWeb在3月底通报，但当研究人员联络开发厂商Promokit.eu，对方仅表示这是很久以前的事情，并不清楚那些版本的pkfacebook曝险，也不愿提供研究人员最新版本，以便确认是否完成修补。

对此，Friends Of Presta呼吁网站管理者要尽速采取行动因应，这些措施包括：使用最新版本的pkfacebook，以及在网页应用程式防火墙（WAF）启动特定规则。