Опубликованы эксплоиты к уязвимостям в популярных интернет-магазинах

image

Теги: уязвимость, эксплоит, web-приложения

Эксплуатация уязвимостей в osCmax, osCommerce и Osclass позволяет выполнить произвольный код, осуществить CSRF-атаку и SQL-инъекцию.

Исследователи High-Tech Bridge опубликовали подробную информацию и PoC-коды для нескольких серьезных уязвимостей в ряде популярных web-приложений. Эксплуатация ошибок позволяет выполнить произвольный код, похитить конфиденциальную информацию и загрузить на ресурс вредоносное ПО.

В web-приложении Osclass была обнаружена уязвимость, позволяющая осуществить SQL-инъекцию. Удаленный пользователь может выполнить произвольные SQL-команды в базе данных приложения. Ошибка существует в Osclass 3.5.9 и была исправлена разработчиками во второй половине января нынешнего года.

В приложениях osCmax и osCommerce исследователи High-Tech Bridge обнаружили уязвимости, позволяющие выполнить произвольный код и осуществить CSTF-атаку. Ошибки не были исправлены, а разработчики приложений даже не вышли на связь с исследователями. В среду, 17 февраля, эксперты опубликовали подробную информацию об уязвимостях.

Для успешной эксплуатации уязвимости, позволяющей выполнить произвольный код, злоумышленник должен иметь доступ к административной панели ресурса. Получить соответствующие привилегии злоумышленник может путем осуществления CSRF-атаки. Жертва должна перейти по предоставленной хакером вредоносной ссылке.

В настоящее время способов устранения уязвимостей в osCmax и osCommerce не существует. Разработчики не вышли на связь с исследователями.


или введите имя

CAPTCHA