Magento veritabanı aracı Magmi'nin sıfır güvenlik açığı var

Güvenlik firması Trustwave'e göre, Magmi adlı Magento e-ticaret platformuna içerik aktarmak için açık kaynaklı bir araç, sıfır günlüğüne sahip.

Dizin çaprazlama hatası, Magmi'nin SQL veritabanına büyük miktarlarda veri taşımak için kullanılan bazı Magmi sürümlerinde bulunur. Böyle bir kusur, bir dosya sistemindeki diğer dosyalara veya dizinlere erişime izin verebilir.

"Güvenli kullanım, Magento site kimlik bilgilerine ve veritabanı için şifreleme anahtarına erişim ile sonuçlanır," diye yazdı Assi Barak, Trustwave'ın SpiderLabs ile güvenlik araştırmacısına öncülük etti.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl temizlersiniz]

Barak, Trustwave'in, Magmi'nin geliştiricisine ve Magento'ya, güvenlik açığından etkilenen 1,700 web sitesinin operatörleri ile iletişim kurduğunu bildirdiğini yazdı.

Magmi, GitHub veya SourceForge, ancak SourceForge'daki yalnızca sürüm savunmasız durumda, Barak yazdı.

Magmi'nin 0.7.21'in SourceForge sürümü en son 2 Aralık 2014'te güncellendi ve GitHub sürümü üzerinde değiştirildi. geçen ay ve savunmasız değildir.

"İki havuzun senkronize kaldığı söylenirken, bu durum böyle görünmüyor" diye yazdı Barak,

Trustwave, HTTP isteklerini gördükten sonra problemi çözdü Bu bir istismar attem görünüyordu nk. Taleplerin yapısı - "… /…" - "Linux parola dosyasına, yolu yeniden izleyerek erişme girişimi" gösterdi.

Trustwave'in bulguları, "kötü aktörlerin güvenlik açığından haberdar olmaları ve Barak şöyle yazdı: "Barak yazdı.

Savunmasız SourceForge versiyonu Eylül ayında yaklaşık 2.800 kez indirildi. Salı günü Magmi'nin SourceForge sayfası, bu hafta 500'den fazla kez indirildiğini gösterdi.