شماره: IRCNE2015062545
تاريخ:04/01 /94
eBay سه آسيب پذيري امنيتي جدي را كه اخيرا در ميان افزار سيستم تجارت الكترونيك Magneto كشف كرده بود اصلاح نمود.
هفته گذشته سه آسيب پذيري امنيتي در پلت فرم منبع باز Magneto كشف شد. در حال حاضر اين پلت فرم توسط eBay براي تراكنش ها و خريدهاي آنلاين استفاده مي شود.
اولين آسيب پذيري مربوط به نقص CSRF مي باشد كه در برنامه وب سمت كاربر Magento شناسايي شده است. آسيب پذيري XSS به مهاجم راه دور اجازه مي دهد تا اسكريپت ها را به ماژول خدمات آنلاين تزريق نمايد و بدين ترتيب به مهاجمان اجازه مي دهد تا حملاتي از قبيل ارتباط ربايي حساب كاربري سمت كلاينت، سرقت هويت سمت كلاينت، تغيير مسير سمت كلاينت و دستكاري ماژول هاي خدمات متصل شده يا آلوده شده را هدايت نمايند.
دومين آسيب پذيري مربوط به اعتبارسنجي ورودي مي باشد و مي تواند توسط هكرها با پايين ترين حق دسترسي حساب كاربري مورد سوء استفاده قرار بگيرد.
سومين مساله امنيتي، آسيب پذيري CSRF سمت كلاينت است كه در ماژول پيام رساني برنامه كاربردي Magento شناسايي شده است. مهاجمان راه دور با پايين ترين حق دسترسي حساب كاربري مي توانند پيام هاي داخلي Magento را حذف نمايند و حملات MitM مي تواند براي ردگيري نشست هاي كاربر و حذف پيام ها راه اندازي شود. با توجه به گزارشات اين آسيب پذيري چند سال پيش افشاء شده است.
اين آسيب پذيري ها در ماه مارس به تاييد eBay رسيده است. در حال حاضر اصلاحيه هاي امنيتي آن ها در دسترس قرار دارد.
- 13