Trovalost.it

Magento 1.9.1.0 è fallato, problema RCE (Remote Code Execution)

Annunci:
(Tophost) l’ hosting web più economico – Usa il coupon sconto: 7NSS5HAGD5UC2
(Rankister) Vuoi pubblicare il tuo articolo su questo sito? scopri come fare!
Annunci:
(Tophost) l’ hosting web più economico – Usa il coupon sconto: 7NSS5HAGD5UC2

àˆ stato scoperto un pesante bug in Magento che permette ad un attaccante di eseguire numerose operazioni sui siti di e-commerce senza autorizzazione. Il bug in questione permette ad un malintenzionato di effettuare l’accesso alla piattaforma del sito e, eventualmente, rubare i dati delle carte di credito dei clienti cosଠcome altri dati personali e finanziari: il tutto sfruttando una falla di tipo RCE (Remote Code Execution). Alle vulnerabilità  in questione, inoltre, sono associati ben tre Common Vulnerabilities and Exposures (CVE), ovvero CVE-2015-1397, CVE-2015-1398 e CVE-2015-1399.

La fonte della notizia è il blog CheckPoint che presenta tutti i dettagli del caso, proof of concept inclusa: il video seguente mostra come sia possibile generare dei finti coupon (mediante uno script in Python) che annullano l’ammontare del prezzo.

I ricercatori hanno da tempo avvisato privatamente Ebay, che ha provveduto a riparare una falla che, quasi certamente, potrebbe rimanere aperta su numerosi siti di e-commerce per molto tempo: anche perchè, allo stato attuale, non esiste una patch ufficiale. La vulnerabilità  è stata verificata sulle versioni 1.9.1.0 CE e 1.14.1.0 EE, che coincidono con le ultime rilasciate fino al momento in cui scrivo.

In questi casi, in mancanza di ulteriori informazioni, la cosa migliore è quella di rivolgersi ad un esperto di sicurezza informatica per capire i livelli di rischio e prendere adeguate protezioni e provvedimenti a livello software.

Non è la prima volta, peraltro, che Magento presenta problemi di sicurezza: l’ultimo era stato rilevato nel settembre dell’anno scorso, ed era altrettanto grave. Magento, popolare CMS per eCommerce (assieme a PrestaShop) acquistato da Ebay nel 2011, è distribuito in due versioni (community ed enterprise), e viene utilizzato da numerosi hosting che forniscono spesso piani commerciali ad hoc. Ricordiamo che esistono, ad oggi, hosting specifici per Magento e per Prestashop.

 

👇 Da non perdere 👇

Annunci:
(Tophost) l’ hosting web più economico – Usa il coupon sconto: 7NSS5HAGD5UC2

Questo sito web esiste da 4559 giorni (12 anni), e contiene ad oggi 4194 articoli (circa 3.355.200 parole in tutto) e 20 servizi online gratuiti. – Leggi un altro articolo a caso

Guarda anche:

Mi spiace, non trovo altri articoli correlati. Se vuoi, puoi tornare alla homepage

Privacy e termini di servizio / Cookie - Il nostro network è composto da Lipercubo , Pagare.online e Trovalost
Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Questo sito contribuisce alla audience di sè stesso.