Pagina 1 di 1

Riscontrato problema di sicurezza

Inviato: 17/06/2009, 20:09
da applevision
Ciao,
ho scoperto (a mie spese) una falla di sicurezza di OSCommerce.
Esiste una pagina senza controllo di sessione che consente, tramite POST, di caricare un files sul server.
Caricando un file che consente la gestione di files, si può fare ciò che si vuole nel malcapitato sito peraltro in maniera piuttosto semplice.
Ora, ditemi se proseguire con la descrizione, non vorrei segnalare la cosa a persone malintenzionate che si potrebbero divertire tranquillamente a "bucherellare" i ns. shops. In alternativa lo posto agli amministratori in privato per poter approfondire il problema.

Re: Riscontrato problema di sicurezza

Inviato: 17/06/2009, 20:22
da marcus
applevision ha scritto:Ciao,
ho scoperto (a mie spese) una falla di sicurezza di OSCommerce.
Esiste una pagina senza controllo di sessione che consente, tramite POST, di caricare un files sul server.
Caricando un file che consente la gestione di files, si può fare ciò che si vuole nel malcapitato sito peraltro in maniera piuttosto semplice.
Ora, ditemi se proseguire con la descrizione, non vorrei segnalare la cosa a persone malintenzionate che si potrebbero divertire tranquillamente a "bucherellare" i ns. shops. In alternativa lo posto agli amministratori in privato per poter approfondire il problema.
Inviami i dettagli in Pm .

Nel caso sia necessario metteremo un post in rilievo con dettagli e fix allegato.

Saluti
Marcus

Re: Riscontrato problema di sicurezza

Inviato: 18/06/2009, 0:32
da hsg26
Un altro buon motivo per usare FCK editor :) messo in evidenza cmq... grazie marcus!

Re: Riscontrato problema di sicurezza

Inviato: 18/06/2009, 1:14
da vampire
hsg26 ha scritto:Un altro buon motivo per usare FCK editor :) messo in evidenza cmq... grazie marcus!
nn ho capito ma il bug sta su osc o sull'editor installato? in tal caso hsg26 puoi spiegarmi meglio la cosa in pvt se non è un disturbo?

Grazie

Re: Riscontrato problema di sicurezza

Inviato: 18/06/2009, 1:41
da marcus
vampire ha scritto:
hsg26 ha scritto:Un altro buon motivo per usare FCK editor :) messo in evidenza cmq... grazie marcus!
nn ho capito ma il bug sta su osc o sull'editor installato? in tal caso hsg26 puoi spiegarmi meglio la cosa in pvt se non è un disturbo?

Grazie
Il problema è imputabile alla contrib htmlarea e non al codice originale di osCommerce. Al momento non sono stati rilevati bug analoghi con altri editor Web quali FCK o TinyMCE.



Saluti
Marcus

Re: Riscontrato problema di sicurezza

Inviato: 18/06/2009, 1:54
da vampire
grazie marcus :)