VirtueMart fino alla versione 3.0.9 è affetto da una vulnerabilità informatica Il problema è stato appena segnalato su Seclist e non dovrebbe essere sottovalutato

<span class="entry-title-primary">VirtueMart fino alla versione 3.0.9 è affetto da una vulnerabilità informatica</span> <span class="entry-subtitle">Il problema è stato appena segnalato su Seclist e non dovrebbe essere sottovalutato</span>

Il plugin VirtueMart per trasformare il nostro Joomla! in un e-commerce sarebbe, secondo un bollettino recente di Seclist, affetto da un problema legato al brute force: per via del limitato numero di combinazioni possibili della password (in tutto 1.048.576), infatti, ammesso che l’attaccante conosca il numero di ordine di un prodotto sarà possibile estrarre informazioni riservate sullo stesso (oggetto acquistato, prezzo, nome, cognome dell’acquirente, indirizzo e via dicendo). Il problema, secondo chi segnala la falla, si potrebbe mettere in atto manipolando l’URL di Virtuemart e testando più di una password mediante script a dizionario:

http://site/index.php?option=com_virtuemart&view=orders&layout=details&order_number=1&order_pass=p_11111

http://site/index.php?option=com_virtuemart&view=orders&layout=details&order_number=1&order_pass=p_11112

http://site/index.php?option=com_virtuemart&view=orders&layout=details&order_number=1&order_pass=p_11113

I servizi di web hosting più sicuri, comunque, dovrebbero limitare in automatico il numero di accessi ad un URL nel tempo, cosa che dovrebbe preservare il sistema anche da altri attacchi di tipo brute force. Certo è che passare la password via GET (peraltro in chiaro nell’URL) non sembra essere una buona idea, e sicuramente mette a rischio il sito in Joomla! che adotti VirtueMart: ad ogni modo, il rischio effettivo potrebbe essere limitato da una buona configurazione lato server.

Tutte le versioni di VirtueMart fino alla 3.0.9 sembrerebbero interessate al problema; per precauzione, sarebbe opportuno effettuare dei test di sicurezza specifici, e disabilitare temporaneamente il plugin in attesa della versione successiva, che teoricamente dovrebbe provvedere a risolvere il problema (versioni successive alla 3.0.9).

Ti piace questo articolo?

2 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

VirtueMart fino alla versione 3.0.9 è affetto da una vulnerabilità informatica

Votato 6 / 10, da 2 utenti