Magento 1.9.1.0 è fallato, problema RCE (Remote Code Execution)


àˆ stato scoperto un pesante bug in Magento che permette ad un attaccante di eseguire numerose operazioni sui siti di e-commerce senza autorizzazione. Il bug in questione permette ad un malintenzionato di effettuare l’accesso alla piattaforma del sito e, eventualmente, rubare i dati delle carte di credito dei clienti cosଠcome altri dati personali e finanziari: il tutto sfruttando una falla di tipo RCE (Remote Code Execution). Alle vulnerabilità  in questione, inoltre, sono associati ben tre Common Vulnerabilities and Exposures (CVE), ovvero CVE-2015-1397, CVE-2015-1398 e CVE-2015-1399.

La fonte della notizia è il blog CheckPoint che presenta tutti i dettagli del caso, proof of concept inclusa: il video seguente mostra come sia possibile generare dei finti coupon (mediante uno script in Python) che annullano l’ammontare del prezzo.

I ricercatori hanno da tempo avvisato privatamente Ebay, che ha provveduto a riparare una falla che, quasi certamente, potrebbe rimanere aperta su numerosi siti di e-commerce per molto tempo: anche perchè, allo stato attuale, non esiste una patch ufficiale. La vulnerabilità  è stata verificata sulle versioni 1.9.1.0 CE e 1.14.1.0 EE, che coincidono con le ultime rilasciate fino al momento in cui scrivo.

Pubblicità – Continua a leggere sotto :-)
Sei un webmaster? Prova TheMoneytizer per il tuo sito

In questi casi, in mancanza di ulteriori informazioni, la cosa migliore è quella di rivolgersi ad un esperto di sicurezza informatica per capire i livelli di rischio e prendere adeguate protezioni e provvedimenti a livello software.

Non è la prima volta, peraltro, che Magento presenta problemi di sicurezza: l’ultimo era stato rilevato nel settembre dell’anno scorso, ed era altrettanto grave. Magento, popolare CMS per eCommerce (assieme a PrestaShop) acquistato da Ebay nel 2011, è distribuito in due versioni (community ed enterprise), e viene utilizzato da numerosi hosting che forniscono spesso piani commerciali ad hoc. Ricordiamo che esistono, ad oggi, hosting specifici per Magento e per Prestashop.

Pubblicità – Continua a leggere sotto :-)
Sei un webmaster? Prova TheMoneytizer per il tuo sito

(Tophost) l’ hosting web più economico – Usa il coupon sconto: 7NSS5HAGD5UC2

Pubblicità – Continua a leggere sotto :-)

 

👇 Da non perdere 👇



Trovalost esiste da 4633 giorni (13 anni), e contiene ad oggi 4348 articoli (circa 3.478.400 parole in tutto) e 22 servizi online gratuiti. – Leggi un altro articolo a caso
Numero di visualizzazioni (dal 21 agosto 2024): 0
Pubblicità – Continua a leggere sotto :-)
Segui il canale ufficiale Telegram @trovalost https://t.me/trovalost
Seguici su Telegram: @trovalost
Privacy e termini di servizio / Cookie - Il nostro network è composto da Lipercubo , Pagare.online e Trovalost
Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Questo sito contribuisce alla audience di sè stesso.