بستر Magento یکی از معروف‌ترین بسترها برای توسعه‌ی تجارت الکترونیک است که توسط بیش از ۲۵۰ هزار بازرگان در سراسر جهان مورد استفاده قرار می‌گیرد. محققان امنیتی هشدار دادند این بستر دارای یک آسیب‌پذیری بسیار حیاتی است که بهره‌برداری از آن به مهاجم اجازه می‌دهد تا کنترل کامل فروشگاه‌های برخط را در دست بگیرد.

این آسیب‌پذیری در ویژگی وجود دارد که به مالکان فروشگاه برخط اجازه می‌دهد تا محتوای ویدئویی Vimeo را به محصول خود اضافه کنند. پس از افزودن این ویدئو، Magento به‌طور خودکار از طریق یک درخواست POST تصویر پیش‌نمایشی را بازیابی می‌کند. این درخواست می‌تواند از نوع POST به GET تبدیل شود و به مهاجم اجازه‌ی اجرای حمله‌ی درخواست جعلی بین‌-وب‌گاهی (CSRF) را داده و پرونده‌ی دلخواه خود را بارگذاری کند. در حالی‌که اجازه‌ی بارگذاری تصاویر نامعتبر داده نمی‌شود ولی این پرونده‌ی مخرب پیش از اعتبارسنجی بر روی کارگزار ذخیره می‌شود.

لینک خبرhttps://u.asis.io/13u

کانال اخبار امنیتی IT

@SecuNews

نوشته شده در تاریخ جمعه 25 فروردین 1396    | توسط: No Name    |    |
نظرات()