Online prodavnice ugrožene zbog opasnog propusta

Online prodavnice ugrožene zbog opasnog propusta

Bezbednosni stručnjaci iz kompanije DefenseCode otkrili su ranjivost na platformi za e-trgovinu Magento koja napadačima dozvoljava postavljanje i pokretanje zlonamernog koda na serverima online prodavnica.

Neotklonjena ranjivost nalazi se u funkcionalnosti koja dohvata naslovne slike za video sadržaj objavljen na usluzi Vimeo. U slučaju kada URL fotografije pokazuje na neku drugu datoteku, na primer PHP skriptu, Magento će je svejedno preuzeti kako bi je overio. Ako se ne radi o slikovnoj datoteci, pojaviće se “Disallowed file type” obaveštenje, ali datoteka neće biti uklonjena s servera.

Potencijalni napadač ovu ranjivost mogao bi da iskoristi za izvršavanje proizvoljnog programskog koda tako da najpre navede Magento na preuzimanje .htaccess konfiguracione datoteke koja omogućava pokretanje PHP skripte unutar mape za preuzimanje, a zatim preuzme zlonamernu PHP datoteku. PHP datoteka, kada dođe do servera, deluje kao backdoor i omogućava udaljeni pristup što napadačima pruža mogućnost otkrivanja poverljivih informacija.

Ranjivost je moguće iskoristiti jedino ako napadač ima pristup korisničkom nalogu na zahvaćenom web sedištu. Korisnici svoje podatke mogu učiniti dostupnima ako posete posebno oblikovanu web stranicu, a u pozadini imaju pokrenutu uslugu Magento.

Magento u pisanoj izjavi navodi da istražuju navedeni propust te nisu upoznati sa slučajevima u kojima je došlo do uspešnog iskorišćavanja ranjivosti te da će je otkloniti u jednoj od sledećih nadogradnji. Stručnjaci iz kompanije DefenseCode savetuju svim korisnicima da koriste opciju “Add Secret Key to URLs” kako bi smanjili nivo prijetnje.

Izvor: GdeInvestirati/ITsvet
Previous Gužva u vodama Pacifika: Kineski i ruski brodovi prate Trampovu armadu
Next Wall Street: Indeksi zabeležili veliki rast

You might also like

Najvažnije vesti 0 Comments

Ko utaji više od 5 miliona dinara krivično odgovara

Udruženje poreskih savetnika Srbije podneće zahtev Ministarstvu pravde da ubuduće limit za podnošenje krivičnih prijava u slučaju poreske utaje ne bude 150.000 dinara, već pet miliona dinara, odlučeno je na

Društvo 0 Comments

Ministarstvo privrede: Za lokalne puteve, škole i vrtiće 413 miliona dinara

Ministarstvo privrede donelo je odluku da sa 413 miliona dinara podrži izvođenja radova na 32 projekata od značaja za lokalni i regionalni razvoj i standard građana u gradovima i opštinama

Društvo 0 Comments

Rusi ubeđeni da će London ostati vodeći globalni finansijski centar

London će ostati vodeći globalni finansijski centar posle Brexita, izjavio je danas vođa tima za uspostavljanje međunarodnog finansijskog centra u Rusiji, Aleksandar Vološin.

0 Comments

No Comments Yet!

You can be first to comment this post!

Leave a Reply