Online prodavnice ugrožene zbog opasnog propusta

Online prodavnice ugrožene zbog opasnog propusta

Bezbednosni stručnjaci iz kompanije DefenseCode otkrili su ranjivost na platformi za e-trgovinu Magento koja napadačima dozvoljava postavljanje i pokretanje zlonamernog koda na serverima online prodavnica.

Neotklonjena ranjivost nalazi se u funkcionalnosti koja dohvata naslovne slike za video sadržaj objavljen na usluzi Vimeo. U slučaju kada URL fotografije pokazuje na neku drugu datoteku, na primer PHP skriptu, Magento će je svejedno preuzeti kako bi je overio. Ako se ne radi o slikovnoj datoteci, pojaviće se “Disallowed file type” obaveštenje, ali datoteka neće biti uklonjena s servera.

Potencijalni napadač ovu ranjivost mogao bi da iskoristi za izvršavanje proizvoljnog programskog koda tako da najpre navede Magento na preuzimanje .htaccess konfiguracione datoteke koja omogućava pokretanje PHP skripte unutar mape za preuzimanje, a zatim preuzme zlonamernu PHP datoteku. PHP datoteka, kada dođe do servera, deluje kao backdoor i omogućava udaljeni pristup što napadačima pruža mogućnost otkrivanja poverljivih informacija.

Ranjivost je moguće iskoristiti jedino ako napadač ima pristup korisničkom nalogu na zahvaćenom web sedištu. Korisnici svoje podatke mogu učiniti dostupnima ako posete posebno oblikovanu web stranicu, a u pozadini imaju pokrenutu uslugu Magento.

Magento u pisanoj izjavi navodi da istražuju navedeni propust te nisu upoznati sa slučajevima u kojima je došlo do uspešnog iskorišćavanja ranjivosti te da će je otkloniti u jednoj od sledećih nadogradnji. Stručnjaci iz kompanije DefenseCode savetuju svim korisnicima da koriste opciju “Add Secret Key to URLs” kako bi smanjili nivo prijetnje.

Izvor: GdeInvestirati/ITsvet
Previous Gužva u vodama Pacifika: Kineski i ruski brodovi prate Trampovu armadu
Next Wall Street: Indeksi zabeležili veliki rast

You might also like

Društvo 0 Comments

Srbija: Naplata poreza veća za 70,4 milijarde dinara

Prema podacima Poreske uprave, u prvih osam meseci, zaključno sa 31. avgustom, naplaćeno je 728,7 milijardi dinara, što je za 70,4 milijarde više nego u istom periodu 2015.

Društvo 0 Comments

Povišen nivo opasnosti: Izrael pozvao svoje građane da napuste Tursku

Zbog potencijalno novih terorističkih napada Izrael je danas pozvao svoje građane da izbegavaju odlazak u Tursku a onima koji se tamo već nalaze preporučeno je da napuste zemlju.

Društvo 0 Comments

Medalja u grčko-rimskom stilu

Srpski rvač Davor Štefanek plasirao se u finale Olimpijskog turnira u Riju i tako omogućio osvajanje prve medalje za svoju zemlju.

0 Comments

No Comments Yet!

You can be first to comment this post!

Leave a Reply