VirtueMart fino alla versione 3.0.9 è affetto da una vulnerabilità  informatica


Il plugin VirtueMart per trasformare il nostro Joomla! in un e-commerce sarebbe, secondo un bollettino recente di Seclist, affetto da un problema legato al brute force: per via del limitato numero di combinazioni possibili della password (in tutto 1.048.576), infatti, ammesso che l’attaccante conosca il numero di ordine di un prodotto sarà  possibile estrarre informazioni riservate sullo stesso (oggetto acquistato, prezzo, nome, cognome dell’acquirente, indirizzo e via dicendo). Il problema, secondo chi segnala la falla, si potrebbe mettere in atto manipolando l’URL di Virtuemart e testando più di una password mediante script a dizionario:

http://site/index.php?option=com_virtuemart&view=orders&layout=details&order_number=1&order_pass=p_11111

http://site/index.php?option=com_virtuemart&view=orders&layout=details&order_number=1&order_pass=p_11112

http://site/index.php?option=com_virtuemart&view=orders&layout=details&order_number=1&order_pass=p_11113

I servizi di web hosting più sicuri, comunque, dovrebbero limitare in automatico il numero di accessi ad un URL nel tempo, cosa che dovrebbe preservare il sistema anche da altri attacchi di tipo brute force. Certo è che passare la password via GET (peraltro in chiaro nell’URL) non sembra essere una buona idea, e sicuramente mette a rischio il sito in Joomla! che adotti VirtueMart: ad ogni modo, il rischio effettivo potrebbe essere limitato da una buona configurazione lato server.

Tutte le versioni di VirtueMart fino alla 3.0.9 sembrerebbero interessate al problema; per precauzione, sarebbe opportuno effettuare dei test di sicurezza specifici, e disabilitare temporaneamente il plugin in attesa della versione successiva, che teoricamente dovrebbe provvedere a risolvere il problema (versioni successive alla 3.0.9).

👇 Da non perdere 👇



Questo sito esiste da 4553 giorni (12 anni), e contiene ad oggi 4149 articoli (circa 3.319.200 parole in tutto) e 20 servizi online gratuiti. – Leggi un altro articolo a caso
Privacy e termini di servizio / Cookie - Il nostro network è composto da Lipercubo , Pagare.online e Trovalost
Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Questo sito contribuisce alla audience di sè stesso.