Bezbednosni stručnjaci iz kompanije DefenseCode otkrili su ranjivost na platformi za e-trgovinu Magento koja napadačima dozvoljava postavljanje i pokretanje zlonamernog koda na serverima online prodavnica.
Neotklonjena ranjivost nalazi se u funkcionalnosti koja dohvata naslovne slike za video sadržaj objavljen na usluzi Vimeo. U slučaju kada URL fotografije pokazuje na neku drugu datoteku, na primer PHP skriptu, Magento će je svejedno preuzeti kako bi je overio. Ako se ne radi o slikovnoj datoteci, pojaviće se "Disallowed file type" obaveštenje, ali datoteka neće biti uklonjena s servera.
Potencijalni napadač ovu ranjivost mogao bi da iskoristi za izvršavanje proizvoljnog programskog koda tako da najpre navede Magento na preuzimanje .htaccess konfiguracione datoteke koja omogućava pokretanje PHP skripte unutar mape za preuzimanje, a zatim preuzme zlonamernu PHP datoteku. PHP datoteka, kada dođe do servera, deluje kao backdoor i omogućava udaljeni pristup što napadačima pruža mogućnost otkrivanja poverljivih informacija.
Ranjivost je moguće iskoristiti jedino ako napadač ima pristup korisničkom nalogu na zahvaćenom web sedištu. Korisnici svoje podatke mogu učiniti dostupnima ako posete posebno oblikovanu web stranicu, a u pozadini imaju pokrenutu uslugu Magento.
Magento u pisanoj izjavi navodi da istražuju navedeni propust te nisu upoznati sa slučajevima u kojima je došlo do uspešnog iskorišćavanja ranjivosti te da će je otkloniti u jednoj od sledećih nadogradnji. Stručnjaci iz kompanije DefenseCode savetuju svim korisnicima da koriste opciju "Add Secret Key to URLs" kako bi smanjili nivo prijetnje.
Zbog opasnog propusta ugrožene hiljade online prodavnica
13:02
nema komentara
Postavi komentar
Vaš komentar: