オンラインショッピングカートZen CartがXSSの重要な欠陥を修正

Zen Cartでは、XSSのセキュリティ上の脆弱性が数十件修正され、ユーザーはWebサイトの侵害、データ盗難、追跡の危険にさらされていました。

人気のあるオンラインショッピングカートは、世界中の何十万人ものユーザーに対応しています。オープンソースソフトウェアは、ウェブサイトに、SMBのための不必要な費用になる可能性のあるライセンスに費やさずにショッピング注文を処理する機能を付与しますが、PHPベースのZen Cartは他のショッピングカートと同じようにセキュリティ問題に対して脆弱です。

スパイダーラボの調査チームのTrustwaveの研究者は、このアプリケーションで複数のXSSベースの脆弱性を発見し、2015年9月からZen Cartと協力してバグの修正を行っていると述べた。

この問題を詳述するセキュリティ勧告には、ショッピングカートの反射型および格納型のクロスサイトスクリプティング(XSS)の脆弱性の説明が含まれており、その多くは管理部門に焦点を当てています。

スクリプトの入力を可能にする管理領域は特に危険にさらされており、ThreatPostによれば、ソフトウェアの認証されていない領域に少なくとも50個のXSS脆弱性が1つのXSS問題とともに検出されています。

この脆弱性により、攻撃者はWebドメインを侵害し、Webサイトを改ざんしてCookieにアクセスできる可能性があります。セキュリティ上の欠陥は、追跡、監視、機密データの盗難、およびシステム感染のためにマルウェアをロードするためにも使用される可能性があります。

これらのXSSの脆弱性の範囲は、すべてのパッチにパッチを当て、他の人がどこに潜んでいるのかを発見するのに時間がかかり、困難な分析になるため、問題になります。これらのセキュリティ問題やその他のXSS問題の悪用を防ぐため、Zen Cartはオープンソースソフトウェアの管理パネルでGET / POST入力パラメータのグローバルサニタイズを実装することを推奨しました。

セキュリティ会社との「長い話し合い」の後、Zen Cartは、ソフトウェアの将来のバージョンがこれらの特定の問題の影響を受けないようにすることを決定しました。

しかし、Trustwaveによって報告された脆弱性のすべてが修正されているわけではありません。 Trustwaveによると、クロスサイトスクリプティングの問題はまだ残っていますが、管理者権限が必要でCSRF保護が適切であるため、この欠陥を悪用することは難しいでしょう。

この脆弱性は、Zen Cart 1.5.4およびそれ以前のバージョンのソフトウェアに影響を与えます。

Zen Cartがリリースした1.5.5以降のセキュリティ問題の一般公開は、報告されたすべての脆弱性を修正し、これらの問題のさらなる手段を利用することはありません。

ユーザーはできるだけ早くZen Cartの最新バージョンにアップグレードする必要があります。

読んでください:トップピック

ransomware攻撃のコスト:今年は10億ドル、ChromeはHTTP接続を安全ではないとラベル付け開始、Hyperledgerプロジェクトはギャングバスターのように成長している;今、あなたはその道で何かを破壊するUSB​​スティックを買うことができる

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

あなたがロシア人でない限り、あなたのBitcoinの鉱業利益を30%増加させる方法、SMS Androidのマルウェアがあなたのデバイスを根絶し、乗っ取る – バグ賞金:研究者の現金を提供する会社、Shodan:IoT検索エンジンのプライバシーメッセンジャーあなたは盗まれた銀行データをダークウェブに漏らしますか?

革新、?M2M市場がブラジルに戻ってくる、セキュリティー、FBIがCrackasのメンバーを逮捕米政府関係者のハッキングに対する態度、セキュリティ、Wordpressは重要なセキュリティホールを修正するために今更新するようユーザーに促す、セキュリティー、ホワイトハウスは連邦最高責任者情報セキュリティ責任者