حفره Magneto به مهاجمان اجازه اجرای کد با استفاده از API را می‎دهد!

Magneto وصله‎ای برای آسیب پذیری جدی منتشر کرده که به کاربران ناشناخته اجازه می‌داد کد PHP را از راه دور و با استفاده از API، روی کارگزار اجرا کنند. Magneto به این آسیب پذیری (CVE-۲۰۱۶-۴۰۱۰) از ۱۰ نمره ۹.۸ داد.
رئیس شرکت محصولات Magneto، پیوتر کامینسکی در مورد این به‎روزرسانی امنیتی نوشت «پیش از این یک کاربر ناشناخته یا با استفاده از REST یا SOAP API، می‌توانست کد PHP را روی کارگزار اجرا کند.»
محقق امنیتی نتانل رابین در پستی راجع به جزئیات این آسیب‎پذیری نوشت که سوءاستفاده از این آسیب‎پذیری به حفره‌های کوچک بسیاری بستگی دارد: «هنگام اعطای یک راه آسان برای طراحان ماژول برای ارتباط بین front-end سامانه و back-end، با استفاده از پرونده webapi.xml در ِ دیگری مستقیماً به سمت هسته ماژول توسط web API باز می‌کند».
رابین پیش از این عضو تیم امنیتی شرکت نرم‎افزاری Check Point بود که آسیب‎پذیری دیگری کشف کرد که Magneto را آلوده کرده و به مهاجمان اجازه می‌داد جزئیات کارت اعتباری مشتریان و اطلاعات شخصی آن‌ها را از فروشگاه‌‌های آنلاین به سرقت ببرند. این آسیب‎پذیری یک سال پیش کشف شد و به سرعت توسط گروه‌های مجرمین مورد سوءاستفاده قرار گرفت.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.