Online prodavnice ugrožene zbog opasnog propusta

Online prodavnice ugrožene zbog opasnog propusta

Bezbednosni stručnjaci iz kompanije DefenseCode otkrili su ranjivost na platformi za e-trgovinu Magento koja napadačima dozvoljava postavljanje i pokretanje zlonamernog koda na serverima online prodavnica.

Neotklonjena ranjivost nalazi se u funkcionalnosti koja dohvata naslovne slike za video sadržaj objavljen na usluzi Vimeo. U slučaju kada URL fotografije pokazuje na neku drugu datoteku, na primer PHP skriptu, Magento će je svejedno preuzeti kako bi je overio. Ako se ne radi o slikovnoj datoteci, pojaviće se “Disallowed file type” obaveštenje, ali datoteka neće biti uklonjena s servera.

Potencijalni napadač ovu ranjivost mogao bi da iskoristi za izvršavanje proizvoljnog programskog koda tako da najpre navede Magento na preuzimanje .htaccess konfiguracione datoteke koja omogućava pokretanje PHP skripte unutar mape za preuzimanje, a zatim preuzme zlonamernu PHP datoteku. PHP datoteka, kada dođe do servera, deluje kao backdoor i omogućava udaljeni pristup što napadačima pruža mogućnost otkrivanja poverljivih informacija.

Ranjivost je moguće iskoristiti jedino ako napadač ima pristup korisničkom nalogu na zahvaćenom web sedištu. Korisnici svoje podatke mogu učiniti dostupnima ako posete posebno oblikovanu web stranicu, a u pozadini imaju pokrenutu uslugu Magento.

Magento u pisanoj izjavi navodi da istražuju navedeni propust te nisu upoznati sa slučajevima u kojima je došlo do uspešnog iskorišćavanja ranjivosti te da će je otkloniti u jednoj od sledećih nadogradnji. Stručnjaci iz kompanije DefenseCode savetuju svim korisnicima da koriste opciju “Add Secret Key to URLs” kako bi smanjili nivo prijetnje.

Izvor: GdeInvestirati/ITsvet
Previous Gužva u vodama Pacifika: Kineski i ruski brodovi prate Trampovu armadu
Next Wall Street: Indeksi zabeležili veliki rast

You might also like

Intel prošle godine ostvario prihode od 59,4 milijarde dolara

Kompanija Intel je nedavno predstavila finansijski izveštaj za poslednje tromesečje, kao i celu 2016. godinu.

Politika 0 Comments

Francuska: Novi teroristički napad u Parizu, indetifikovan počinilac

Ministarstvo unutrašnjih poslova saopštilo je da je jedan policajac ubijen, a dvojica teško ranjena u pucnjavi koja se dogodila na Jelisejskim poljima u Parizu.

Zdravlje 0 Comments

Swisslion Takovo: Dečja hrana ispravna, pesticida i do 30 puta manje od rezultata Ministarstva zdravlja

Kompanija “Swisslion Takovo” saopštila je danas da je super analiza kontrole zdravstvene ispravnosti dečje hrane “Juvitana”, urađena u akreditovanoj “SP laboratoriji” u Srbiji, pokazala da je prisustvo pesticida i do

0 Comments

No Comments Yet!

You can be first to comment this post!

Leave a Reply