OpenCart 1.5.6.4 fallato, diffusa una patch per la sicurezza da scaricare

OpenCart 1.5.6.4 fallato, diffusa una patch per la sicurezza da scaricare

Tutte le versioni di OpenCart (uno dei CMS open più usati nell’e-commerce) precedenti alla versione 1.5.6.4 (inclusa la stessa) sarebbero, secondo il bollettino online di seclists. affette da una vulnerabilità di “PHP Object Injection”. Essa consiste in un mix di opportunità che verrebbero offerte all’attaccante (nello specifico Code Injection, SQL Injection, Path Traversal e Application Denial of Service), e mette in pericolo tutte le versioni del celebre CMS per l’ecommerce utilizzato da molteplici siti di vendita online.

La patch per risolvere il problema è attualmente disponibile su GitHub a questo link, che riguarda il file cart.php, e che permette di iniettare codice arbitrario in PHP (oggetti, in particolare) nello scope di visibilità dell’applicazione, permettendo così un attacco Server-Side Request Forgery (SSRF) che si traduce, nello specifico, nella possibilità di abusare del distruttore della classe “DBMySQLi” ed eventualmente l’utilizzo indebito di altri metodi del CMS. Le versioni precedenti a PHP 5.3.23 e 5.4.13 sono quelle che, inoltre, aprono la strada ad un attaccante per altri genere di exploit che riguardano i file XML e che si traducono in ulteriori comandi eseguibili senza permessi, dall’esterno. Si suggerisce caldamente a tutti gli utilizzatori di OpenCart di patchare quanto prima il proprio sito web.

Ti piace questo articolo?

1 voto

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

OpenCart 1.5.6.4 fallato, diffusa una patch per la sicurezza da scaricare

Votato 10 / 10, da 1 utenti