شماره: IRCNE2014092316
تاريخ: 93/06/23
يك آسيب پذيري بسيار مهم در توسعه دهنده معروف تجارت الكترونيك براي سيستم مديريت محتواي جوملا به كاربران خرابكار اجازه مي دهد تا دسترسي سوپر ادمين سايت هايي كه از جوملا استفاده مي كنند را بدست آورد.
Marc-Alexandre Montpas، محقق شركت امنيتي Sucuri اظهار داشت: توسعه دهنده VirtueMart كه به كاربران اجازه مي دهد تا خريدهاي آنلاين را بر روي سايت هاي خود تنظيم نمايند بيش از 3.5 ميليون بار دانلود شده است. با دسترسي سوپر ادمين، مهاجم مي تواند دسترسي كامل سايت و پايگاه داده را بدست آورد.
اين مشكل چند هفته گذشته كشف شد و در VirtueMart نسخه 2.6.10 كه در تاريخ چهارم سپتامبر منتشر شده است برطرف شد. صفحه VirtueMart در كاتولوگ توسعه دهنده هاي جوملا به كاربران توصيه مي كند هر كس كه از نسخه هاي پايين تر از 2.6.10 استفاده مي كند بايد به دليل مسائل امنيتي در اسرع وقت به روز رساني مربوطه را اعمال نمايد.
Montpas گفت: توسعه دهنده VirtueMart از كلاس JUser جوملا روش هاي 'bind' و 'save' براي مديريت اطلاعات حساب كاربري كاربران استفاده مي كند. ما فكر مي كنيم كه مشكل در كلاس جوملا مي باشد بنابراين نمي توانيم جزئيات بيشتري را در رابطه با اين مشكل فاش كنيم.
- 3