Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Vai al contenuto

Magento 1.9.1.0 è fallato, problema RCE (Remote Code Execution)

àˆ stato scoperto un pesante bug in Magento che permette ad un attaccante di eseguire numerose operazioni sui siti di e-commerce senza autorizzazione. Il bug in questione permette ad un malintenzionato di effettuare l’accesso alla piattaforma del sito e, eventualmente, rubare i dati delle carte di credito dei clienti cosଠcome altri dati personali e finanziari: il tutto sfruttando una falla di tipo RCE (Remote Code Execution). Alle vulnerabilità  in questione, inoltre, sono associati ben tre Common Vulnerabilities and Exposures (CVE), ovvero CVE-2015-1397, CVE-2015-1398 e CVE-2015-1399.

La fonte della notizia è il blog CheckPoint che presenta tutti i dettagli del caso, proof of concept inclusa: il video seguente mostra come sia possibile generare dei finti coupon (mediante uno script in Python) che annullano l’ammontare del prezzo.

Vuoi pubblicare il tuo articolo su questo portale? Cercaci su Rankister (clicca qui) .

I ricercatori hanno da tempo avvisato privatamente Ebay, che ha provveduto a riparare una falla che, quasi certamente, potrebbe rimanere aperta su numerosi siti di e-commerce per molto tempo: anche perchè, allo stato attuale, non esiste una patch ufficiale. La vulnerabilità  è stata verificata sulle versioni 1.9.1.0 CE e 1.14.1.0 EE, che coincidono con le ultime rilasciate fino al momento in cui scrivo.

In questi casi, in mancanza di ulteriori informazioni, la cosa migliore è quella di rivolgersi ad un esperto di sicurezza informatica per capire i livelli di rischio e prendere adeguate protezioni e provvedimenti a livello software.

Non è la prima volta, peraltro, che Magento presenta problemi di sicurezza: l’ultimo era stato rilevato nel settembre dell’anno scorso, ed era altrettanto grave. Magento, popolare CMS per eCommerce (assieme a PrestaShop) acquistato da Ebay nel 2011, è distribuito in due versioni (community ed enterprise), e viene utilizzato da numerosi hosting che forniscono spesso piani commerciali ad hoc. Ricordiamo che esistono, ad oggi, hosting specifici per Magento e per Prestashop.

 

👇 Da non perdere 👇



Questo portale web esiste da 4516 giorni (12 anni), e contiene ad oggi 4028 articoli (circa 3.222.400 parole in tutto) e 16 servizi online gratuiti. – Leggi un altro articolo a caso
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.

Questo sito contribuisce alla audience di sè stesso.
Il nostro network informativo: Lipercubo - Pagare online (il blog) - Trovalost.it