top of page

Sites ecommerce com base no OXID eShop afetados por duas falhas de segurança


As falhas seguidamente descritas afetam as versões mais recentes do OXID eShop Enterprise, Professional e Community.

Ambas podem ser exploradas pelo atacante sem qualquer tipo de interação com o utilizador.

CVE-2019-13026

- Vulnerabilidade de injeção SQL, que pode ser explorada para se criar uma nova de administrador. A falha reside no facto de o atacante poder submeter precisamente queries em SQL, pelas quais consegue adicionar um novo administrador e uma password à sua escolha

A segunda falha designa-se por injeção de objeto em PHP, e afeta mais especificamente o painel de administração da plataforma. É causada pela falta de sanitização do input do utilizador, que depois passa para a função unserialize() em PHP. Esta falha, na realidade, depende da primeira, já que o atacante necessita de acesso ao painel de administração, algo que só pode ser efetuado a partir da primeira falha de injeção sql.

Com estas duas falhas, o que na prática poderá acontecer é a execução de código malicioso e de forma remota em qualquer instalação de plataforma de eCommerce. Desta forma, os atacantes podem roubar dados de cartões de crédito, por exemplo, através da instalação de software para o efeito nestas plataformas.

Fonte: https://www.wilderssecurity.com/threads/critical-flaws-in-oxid-eshop-software-expose-ecommerce-sites-to-hacking.419248/

POSTS RECENTES:
PROCURE POR TAGS:
bottom of page