Опубликованы эксплоиты к уязвимостям в популярных интернет-магазинах
Эксплуатация уязвимостей в osCmax, osCommerce и Osclass позволяет выполнить произвольный код, осуществить CSRF-атаку и SQL-инъекцию.
Исследователи High-Tech Bridge опубликовали подробную информацию и PoC-коды для нескольких серьезных уязвимостей в ряде популярных web-приложений. Эксплуатация ошибок позволяет выполнить произвольный код, похитить конфиденциальную информацию и загрузить на ресурс вредоносное ПО.
В web-приложении Osclass была обнаружена уязвимость, позволяющая осуществить SQL-инъекцию. Удаленный пользователь может выполнить произвольные SQL-команды в базе данных приложения. Ошибка существует в Osclass 3.5.9 и была исправлена разработчиками во второй половине января нынешнего года.
В приложениях osCmax и osCommerce исследователи High-Tech Bridge обнаружили уязвимости, позволяющие выполнить произвольный код и осуществить CSTF-атаку. Ошибки не были исправлены, а разработчики приложений даже не вышли на связь с исследователями. В среду, 17 февраля, эксперты опубликовали подробную информацию об уязвимостях.
Для успешной эксплуатации уязвимости, позволяющей выполнить произвольный код, злоумышленник должен иметь доступ к административной панели ресурса. Получить соответствующие привилегии злоумышленник может путем осуществления CSRF-атаки. Жертва должна перейти по предоставленной хакером вредоносной ссылке.
В настоящее время способов устранения уязвимостей в osCmax и osCommerce не существует. Разработчики не вышли на связь с исследователями.
Ваша приватность умирает красиво, но мы можем спасти её.