الرئيسية / أخبار تقنية / الثغرات الأمنية المكتشفة في برامج “OXID eShop” تعرض مواقع التجارة الإلكترونية للخطر

الثغرات الأمنية المكتشفة في برامج “OXID eShop” تعرض مواقع التجارة الإلكترونية للخطر

إذا كان موقع الويب الخاص بالتجارة الإلكترونية يعمل على منصة OXID eShop فأنت بحاجة إلى تحديثه على الفور لمنع تعرض موقعك للخطر.

اكتشف باحثو الأمن السيبراني زوجًا من الثغرات الحرجة في برنامج OXID eShop للتجارة الإلكترونية والذي قد يسمح للمهاجمين غير المصادقين بالتحكم الكامل في مواقع التجارة الإلكترونية الضعيفة عن بُعد في أقل من بضع ثواني.

تعد OXID eShop واحدة من الحلول الرائدة في مجال برمجيات التجارة الإلكترونية الألمانية والتي يتم استخدام إصدار المؤسسات الخاصة بها من قبل رواد الصناعة بما في ذلك مرسيدس و BitBurger و Edeka.

تبادل باحثو الأمن في RIPS Technologies GmbH آخر ما توصلوا إليه مع The Hacker News حيث قدموا تفاصيل عن اثنين من الثغرات الأمنية الحساسة التي تؤثر على الإصدارات الأخيرة من برنامج Enterprise و Professional و Community Editions من OXID eShop.

وتجدر الإشارة إلى أنه لا يوجد أي تفاعل بين المهاجم والضحية ضروريًا لتنفيذ كل من الثغرات الأمنية وتعمل العيوب في مواجهة التكوين الافتراضي لبرنامج التجارة الإلكترونية.

 OXID eShop: SQL Injection Flaw

 الثغرة الأولى التي تم تعيينها كـ CVE-2019-13026 هي ثغرة أمنية في حقن SQL تسمح للمهاجمين غير المصادقين بإنشاء حساب مسؤول جديد بكلمة مرور من اختياره على موقع ويب يشغل أي إصدار مستضعف من برنامج OXID eShop.

 “يمكن استغلال حقنة SQL غير مصادقة عند عرض تفاصيل المنتج نظرًا لأن قاعدة البيانات الأساسية تستفيد من برنامج تشغيل قاعدة بيانات PDO ويمكن استخدام استعلامات مكدسة لإدراج بيانات في قاعدة البيانات في استغلالنا نحن نسيء استخدام هذا لإدراج جديد  المستخدم المسؤول ، “أخبر الباحثون أخبار هاكر.

شارك باحثو الفيديو من Proof-of-Concept مشاركة مع The Hacker News لإظهار هذا الهجوم:

على الرغم من أن نظام قاعدة بيانات PDO قد تم تصميمه لمنع هجمات حقن SQL باستخدام عبارات معدة إلا أن استخدام أوامر SQL بناء ديناميكيًا قد يترك استعلامات مكدسة في خطر أعلى من التعرض للتلوث.

 OXID eShop: خطأ تنفيذ التعليمات البرمجية عن بُعد

مشكلة عدم الحصانة الثانية هي مشكلة حقن كائن PHP والتي تتواجد في لوحة الإدارة لبرنامج OXID eShop وتحدث عندما لا يتم تعقيم المدخلات التي يوفرها المستخدم بشكل صحيح قبل نقله إلى وظيفة PHP غير المُسلسلة.

ويمكن استغلال مشكلة عدم الحصانة هذه للحصول على تنفيذ التعليمات البرمجية عن بُعد على الخادم ومع ذلك فإنه يتطلب الوصول الإداري الذي يمكن الحصول عليه باستخدام مشكلة عدم الحصانة الأولى.

 وقال باحثون لصحيفة هاكر نيوز: “يمكن بعد ذلك ربط ثغرة أمنية ثانية للحصول على تنفيذ التعليمات البرمجية عن بُعد على الخادم ولدينا استغلال Python2.7 يعمل بشكل كامل والذي يمكن أن يعرض للخطر OXID eShops مباشرة والذي يتطلب عنوان URL فقط كوسيطة”.

فيما يلي عرض توضيحي للفيديو يظهر هجوم RCE أثناء العمل:

بمجرد النجاح يمكن للمهاجمين تنفيذ تعليمات برمجية ضارة عن بعد على الخادم الأساسي أو تثبيت المكون الإضافي الخبيث لسرقة بطاقات ائتمان المستخدمين ومعلومات حساب PayPal وأي معلومات مالية حساسة للغاية تمر عبر نظام eShop — تمامًا مثل هجمات MageCart.

أبلغ باحثو RIPS بمسؤولية نتائجهم إلى OXID eShops وأقرت الشركة بالمشكلة وتناولتها بإصدار OXID eShop v6.0.5 و 6.1.4 لجميع الإصدارات الثلاثة.

ويبدو أن الشركة لم تقم بتصحيح الثغرة الثانية ولكنها ببساطة خففتها عن طريق معالجة المشكلة الأولى ومع ذلك في المستقبل إذا تم اكتشاف أي مشكلة في استحواذ المسؤول ، فسيؤدي ذلك إلى إحياء هجمات RCE.

عن فدوى

شاهد أيضاً

الإنتربول يعتقل 3 متسللين لبطاقة الائتمان الإندونيسية بسبب هجمات Magecart

‫أعلنت الشرطة الوطنية الإندونيسية في مؤتمر صحفي مشترك مع الإنتربول في وقت سابق اليوم عن …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *