Riscontrato problema di sicurezza

Postate qui discussioni di carattere generale riguardo a problemi di installazione e configurazione di osCommerce

Moderatore: mod Generali

Rispondi
applevision
membro Junior
membro Junior
Messaggi: 12
Iscritto il: 21/08/2006, 22:01

Riscontrato problema di sicurezza

Messaggio da applevision »

Ciao,
ho scoperto (a mie spese) una falla di sicurezza di OSCommerce.
Esiste una pagina senza controllo di sessione che consente, tramite POST, di caricare un files sul server.
Caricando un file che consente la gestione di files, si può fare ciò che si vuole nel malcapitato sito peraltro in maniera piuttosto semplice.
Ora, ditemi se proseguire con la descrizione, non vorrei segnalare la cosa a persone malintenzionate che si potrebbero divertire tranquillamente a "bucherellare" i ns. shops. In alternativa lo posto agli amministratori in privato per poter approfondire il problema.
Avatar utente
marcus
membro Master
membro Master
Messaggi: 1619
Iscritto il: 04/12/2003, 1:00
Contatta:

Re: Riscontrato problema di sicurezza

Messaggio da marcus »

applevision ha scritto:Ciao,
ho scoperto (a mie spese) una falla di sicurezza di OSCommerce.
Esiste una pagina senza controllo di sessione che consente, tramite POST, di caricare un files sul server.
Caricando un file che consente la gestione di files, si può fare ciò che si vuole nel malcapitato sito peraltro in maniera piuttosto semplice.
Ora, ditemi se proseguire con la descrizione, non vorrei segnalare la cosa a persone malintenzionate che si potrebbero divertire tranquillamente a "bucherellare" i ns. shops. In alternativa lo posto agli amministratori in privato per poter approfondire il problema.
Inviami i dettagli in Pm .

Nel caso sia necessario metteremo un post in rilievo con dettagli e fix allegato.

Saluti
Marcus
Nuovo pacchetto osCommercePRO (osCPRO) + Modulo Interfacciamento Gestionale Danea.
Visita la demo: http://oscpro.oscommercedev.com/index.php
hsg26
membro Master
membro Master
Messaggi: 1677
Iscritto il: 07/04/2005, 0:00
Località: Svizzera
Contatta:

Re: Riscontrato problema di sicurezza

Messaggio da hsg26 »

Un altro buon motivo per usare FCK editor :) messo in evidenza cmq... grazie marcus!
La funzione CERCA si trova sotto al logo Oscommerce italia in questa pagina. - I Love Marketing!

I miei preferiti: internet marketing blog - biancheria da letto - prodotti tipici piemonte - vini piemontesi - roero arneis
vampire
membro Veteran
membro Veteran
Messaggi: 810
Iscritto il: 24/04/2008, 11:48
Località: Italia
Contatta:

Re: Riscontrato problema di sicurezza

Messaggio da vampire »

hsg26 ha scritto:Un altro buon motivo per usare FCK editor :) messo in evidenza cmq... grazie marcus!
nn ho capito ma il bug sta su osc o sull'editor installato? in tal caso hsg26 puoi spiegarmi meglio la cosa in pvt se non è un disturbo?

Grazie
VHosting Solution
Web Hosting Da 26 Euro Annuo
OsCommerce Hosting 144 Euro Annuo
15% di sconto con il codice: OSC-Member su WebHosting - OSC Hosting
http://www.vhosting-it.com
info@vhosting-it.com
Avatar utente
marcus
membro Master
membro Master
Messaggi: 1619
Iscritto il: 04/12/2003, 1:00
Contatta:

Re: Riscontrato problema di sicurezza

Messaggio da marcus »

vampire ha scritto:
hsg26 ha scritto:Un altro buon motivo per usare FCK editor :) messo in evidenza cmq... grazie marcus!
nn ho capito ma il bug sta su osc o sull'editor installato? in tal caso hsg26 puoi spiegarmi meglio la cosa in pvt se non è un disturbo?

Grazie
Il problema è imputabile alla contrib htmlarea e non al codice originale di osCommerce. Al momento non sono stati rilevati bug analoghi con altri editor Web quali FCK o TinyMCE.



Saluti
Marcus
Ultima modifica di marcus il 18/06/2009, 1:56, modificato 2 volte in totale.
Nuovo pacchetto osCommercePRO (osCPRO) + Modulo Interfacciamento Gestionale Danea.
Visita la demo: http://oscpro.oscommercedev.com/index.php
vampire
membro Veteran
membro Veteran
Messaggi: 810
Iscritto il: 24/04/2008, 11:48
Località: Italia
Contatta:

Re: Riscontrato problema di sicurezza

Messaggio da vampire »

grazie marcus :)
VHosting Solution
Web Hosting Da 26 Euro Annuo
OsCommerce Hosting 144 Euro Annuo
15% di sconto con il codice: OSC-Member su WebHosting - OSC Hosting
http://www.vhosting-it.com
info@vhosting-it.com
Rispondi