Il plugin VirtueMart per trasformare il nostro Joomla! in un e-commerce sarebbe, secondo un bollettino recente di Seclist, affetto da un problema legato al brute force: per via del limitato numero di combinazioni possibili della password (in tutto 1.048.576), infatti, ammesso che l’attaccante conosca il numero di ordine di un prodotto sarà possibile estrarre informazioni riservate sullo stesso (oggetto acquistato, prezzo, nome, cognome dell’acquirente, indirizzo e via dicendo). Il problema, secondo chi segnala la falla, si potrebbe mettere in atto manipolando l’URL di Virtuemart e testando più di una password mediante script a dizionario:
http://site/index.php?option=com_virtuemart&view=orders&layout=details&order_number=1&order_pass=p_11111
http://site/index.php?option=com_virtuemart&view=orders&layout=details&order_number=1&order_pass=p_11112
http://site/index.php?option=com_virtuemart&view=orders&layout=details&order_number=1&order_pass=p_11113
…
I servizi di web hosting più sicuri, comunque, dovrebbero limitare in automatico il numero di accessi ad un URL nel tempo, cosa che dovrebbe preservare il sistema anche da altri attacchi di tipo brute force. Certo è che passare la password via GET (peraltro in chiaro nell’URL) non sembra essere una buona idea, e sicuramente mette a rischio il sito in Joomla! che adotti VirtueMart: ad ogni modo, il rischio effettivo potrebbe essere limitato da una buona configurazione lato server.
Tutte le versioni di VirtueMart fino alla 3.0.9 sembrerebbero interessate al problema; per precauzione, sarebbe opportuno effettuare dei test di sicurezza specifici, e disabilitare temporaneamente il plugin in attesa della versione successiva, che teoricamente dovrebbe provvedere a risolvere il problema (versioni successive alla 3.0.9).
👇 Da non perdere 👇
- 📈 Analizza Cellulari 📱
- 🔐 AI che dolor, Chat
- 🎯 Targetizza Database SQL 🗄
- 📊 Analizza Errori più comuni 📛
- 🚧 Costruisci Evergreen 📟
- 👩💻 Programma Gratis 🎉
- 💻 Configura Hosting a confronto 💑
- 🔒 Conosci Hosting reti e domini 💻
- 👩💻 Tapioca Informatica 🖥
- 💻 Iconizza Internet 💻
- 🔒 Gestisci Lavoro 🔧
- 💡 Mostra Marketing & SEO 🌪
- 🔑 Apprendi Meteo ⛅
- 🤯 Visiona Mondo Apple 🍎
- 🔍 Supervisiona Mondo Domini 🌐
- 🚀 Metti in cloud monitoraggio servizi online 📈
- 🔮 Anatomizza Nuove tecnologie 🖥
- 🔒 Antani PEC e firma digitale 📩
- 👀 Prematura Programmare 🖥
- 🎮 Lonfa Scrivere 🖋
- 🔒 Conosci Servizi di SMS 📶
- 👀 Guarda Sicurezza informatica e privacy digitale 🖥
- 🎮 Ricorda Siti web 🌎
- 🤖 Ottimizza Spiegoni 🎓
- 🧠 Neuralizza Svago 🎈
- 📡 Quantizza Usare Excel 🌀
- 🤖 Sovrascrivi Windows 😲
- 🎨 Personalizza Wireless 🚁
- 🔑 Decifra WordPress 🤵
- 💬 Il nostro canale Telegram: iscriviti
- 🟡 Dal phishing in poi: 13 trucchetti usati dai truffatori su internet
- 🔴 Che cos’è l’antitracciamento su internet
- 🟢 Che vuol dire coaching