شماره: IRCNE2015102656
تاريخ: 07/22/94
با توجه به شركت امنيتي Trustwave، ابزار منبع باز Magmi كه براي وارد كردن محتوي به پلت فرم تجاري الكترونيكي Magento استفاده مي شود داراي يك آسيب پذيري zero-day است.
آسيب پذيري پيمايش دايركتوري در برخي از نسخه هاي Magmi وجود دارد. اين آسيب پذيري مي تواند به مهاجم اجازه دهد تا به فايل هاي ديگر يا دايركتوري هاي ديگر در فايل سيستم دسترسي يابد.
آسي باراك، محقق امنيتي آزمايشگاه Trustwave نوشت: سوء استفاده موفقيت آميز از اين آسيب پذيري مي تواند منجر به دسترسي به اعتبارنامه هاي سايت Magento و كليدهاي رمزگذاري پايگاه داده شد.
باراك نوشت: اين شركت به طراحان Magmi و Magento نسبت به وجود چنين آسيب پذيري هشدار داده اند و اعلام كردند كه به نظر مي رسد 1700 وب سايت تحت تاثير آن قرار دارند.
باراك افزود: Magmi را مي توان از سايت هاي GitHub يا SourceForge دانلود كرد اما تنها نسخه موجود بر روي SourceForge آسيب پذيري دارد.
نسخه SourceForge ابزار Magmi نسخه 0.7.21 مي باشد كه آخرين بار در تاريخ دوم دسامبر 2014 اصلاح شده است اما نسخه GitHub ماه گذشته به روز رساني شده است و آسيب پذير نيست.
- 13