E-ticaret web siteniz OXID eShop platformunda çalışıyorsa , sitenizin hacklenmesine engel olmak için derhal güncellemeniz gerekir.
Siber güvenlik araştırmacıları OXID eShop e-ticaret yazılımında, kimliği doğrulanmayan saldırganların güvenlik açığı bulunan e-ticaret web siteleri üzerinde birkaç dakikadan daha kısa bir süre içinde tam kontrol sahibi olmalarına izin verebilecek bir dizi kritik güvenlik açığı keşfetti.
OXID eShop, kurumsal sürümü Mercedes, BitBurger ve Edeka gibi endüstri liderleri tarafından kullanılan önde gelen Alman e-ticaret mağazası yazılım çözümlerinden biridir. RIPS Technologies GmbH’daki güvenlik araştırmacıları en son bulgularını paylaştılar.
Bu bulgularda OXID eShop yazılımının Enterprise, Professional ve Topluluk Sürümlerinin son sürümlerini etkileyen iki kritik güvenlik açıkları hakkında ayrıntılı bilgi verilmektedir.
Her iki güvenlik açığını gidermek için saldırgan ile mağdur arasında kesinlikle hiçbir etkileşime gerek olmadığı ve kusurların e-ticaret yazılımının varsayılan yapılandırmasında çalıştığı belirtilmektedir.
OXID eShop: SQL Enjeksiyon Kusuru
CVE-2019-13026 olarak atanan ilk güvenlik açığı, kimliği doğrulanmayan bir saldırganın, OXID eShop yazılımının savunmasız bir sürümünü çalıştıran bir web sitesinde kendi tercihine ait bir parola ile yeni bir yönetici hesabı oluşturmasına olanak sağlayan bir SQL enjeksiyon güvenlik açığıdır.
“Bir ürünün ayrıntılarını görüntülerken kimliği doğrulanmamış bir SQL enjeksiyonu kullanılabilir. Temel veritabanı PDO veritabanı sürücüsünü kullandığından, veri tabanına INSERT verisi için yığılmış sorgular kullanılabilir.
PDO veritabanı sistemi hazırlanan ifadeleri kullanarak SQL enjeksiyon saldırılarını engellemek için tasarlanmış olsa da, dinamik olarak oluşturulmuş SQL komutlarını kullanarak yığılmış sorguları daha yüksek oranda etkileme riski altında bırakabilir.
OXID eShop: Uzaktan Kod Yürütme Kusuru
İkinci güvenlik açığı, OXID eShop yazılımının yönetim panelinde yer alan ve kullanıcı tarafından sağlanan girdi, unerialize () PHP işlevine geçilmeden önce uygun şekilde sterilize edilmediğinde ortaya çıkan bir PHP Nesnesi enjeksiyon sorunudur.
Bu güvenlik açığından, sunucuda uzaktan kod yürütülmesini sağlamak için yararlanılabilir; ancak, ilk güvenlik açığı kullanılarak elde edilebilecek idari erişim gerektirir.
Araştırmacılar “Sunucuda uzaktan kod yürütme elde etmek için ikinci bir güvenlik açığı oluşturulabiliyor. OXID eShops’u doğrudan yalnızca URL’yi bağımsız değişken olarak gerektiren, tam olarak çalışan bir Python2.7 istismarına sahibiz” dedi.
Başarılı olduklarında, saldırganlar temelde olan sunucu üzerinde kötü amaçlı kodları uzaktan çalıştırabilir veya kullanıcıların kredi kartlarını, PayPal hesap bilgilerini ve eShop sisteminden geçen yüksek hassasiyetli finansal bilgileri çalmak için kendi kötü niyetli eklentilerini yükleyebilir .
RIPS araştırmacıları bulgularını OXID eShops’a sorumlu bir şekilde rapor ettiler ve şirket bu sorunu kabul etti ve OXID eShop v6.0.5 ve 6.1.4’ün yayınlanmasıyla sorunu ele aldı.
Şirketin ikinci güvenlik açığını düzeltmediği, ancak ilk konuyu ele alarak hafiflettiği anlaşılıyor. Ancak, gelecekte herhangi bir yönetici devralma sorunu tespit edilirse, RCE saldırılarını canlandırabilir.
The Hacker News