Magento 1.9.1.0 è fallato, problema RCE (Remote Code Execution) Un problema a livello di codice del CMS permette pesanti attacchi informatici ai dati dei clienti

<span class="entry-title-primary">Magento 1.9.1.0 è fallato, problema RCE (Remote Code Execution)</span> <span class="entry-subtitle">Un problema a livello di codice del CMS permette pesanti attacchi informatici ai dati dei clienti</span>

È stato scoperto un pesante bug in Magento che permette ad un attaccante di eseguire numerose operazioni sui siti di e-commerce senza autorizzazione. Il bug in questione permette ad un malintenzionato di effettuare l’accesso alla piattaforma del sito e, eventualmente, rubare i dati delle carte di credito dei clienti così come altri dati personali e finanziari: il tutto sfruttando una falla di tipo RCE (Remote Code Execution). Alle vulnerabilità in questione, inoltre, sono associati ben tre Common Vulnerabilities and Exposures (CVE), ovvero CVE-2015-1397, CVE-2015-1398 e CVE-2015-1399.

La fonte della notizia è il blog CheckPoint che presenta tutti i dettagli del caso, proof of concept inclusa: il video seguente mostra come sia possibile generare dei finti coupon (mediante uno script in Python) che annullano l’ammontare del prezzo.

I ricercatori hanno da tempo avvisato privatamente Ebay, che ha provveduto a riparare una falla che, quasi certamente, potrebbe rimanere aperta su numerosi siti di e-commerce per molto tempo: anche perchè, allo stato attuale, non esiste una patch ufficiale. La vulnerabilità è stata verificata sulle versioni 1.9.1.0 CE e 1.14.1.0 EE, che coincidono con le ultime rilasciate fino al momento in cui scrivo.

In questi casi, in mancanza di ulteriori informazioni, la cosa migliore è quella di rivolgersi ad un esperto di sicurezza informatica per capire i livelli di rischio e prendere adeguate protezioni e provvedimenti a livello software.

Non è la prima volta, peraltro, che Magento presenta problemi di sicurezza: l’ultimo era stato rilevato nel settembre dell’anno scorso, ed era altrettanto grave. Magento, popolare CMS per eCommerce (assieme a PrestaShop) acquistato da Ebay nel 2011, è distribuito in due versioni (community ed enterprise), e viene utilizzato da numerosi hosting che forniscono spesso piani commerciali ad hoc.

 

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.