В популярных web-приложениях обнаружены серьезные уязвимости

image

Теги: web-приложения, уязвимость, CSRF-атака, SQL-инъекция

Ошибки позволяют удаленно выполнить код, осуществить SQL-инъекцию и CSRF-атаку.

Исследователи швейцарской ИБ-компании High-Tech Bridge обнаружили серьезные уязвимости в ряде популярных web-приложений. В понедельник, 21 ноября, специалисты компании сообщили об ошибках в продуктах osCmax, osCommerce Online Merchant, Roundcube, Osclass и Webligo SocialEngine.

По данным High-Tech Bridge, в osCmax 2.5.4 и osCommerce Online Merchant 2.3.4 обнаружены множественные уязвимости, позволяющие удаленно выполнить код и осуществить CSRF-атаку. Данные ошибки также присутствуют в более ранних версиях продуктов.

Roundcube 1.1.3 подвержен уязвимости обхода пути, позволяющей выполнить произвольный код. В Osclass 3.5.9 и SocialEngine 489 специалисты обнаружили ошибку, позволяющую осущестить SQL-инъекцию. Уязвимостям подвержены и более ранние версии приложений.

В настоящее время подробная информация об уязвимостях отсутствует и будет обнародована после выхода исправлений. По словам эксперта High-Tech Bridge Ильи Колошенко, ошибки достаточно сложно проэксплуатировать, но в случае успеха злоумышленник сможет получить полный доступ к целевому web-приложению.

«Как SQL-инъекция, так и удаленное выполнение кода позволит злоумышленнику получить полный доступ к базе данных уязвимого web-приложения. Во втором случае атакующий сможет осуществить любые действия с системой, в том числе удалить все файлы или стереть все таблицы базы данных», - заявил Колошенко.

osCmax и osCommerce - web-приложения, предназначенные для владельцев online-магазинов. Обеспечивают предпринимателя необходимым функционалом для запуска и поддержания работоспособности торговой площадки.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.