发现RCE缺陷的撕裂技术
氧化ESHOP软件中的一个关键脆弱性为未经身份验证的攻击者远程接管Eshop创造了一种手段。
此后,可能会使用氧化ESHOP管理小组的第二个严重缺陷来进行远程代码执行(RCE)对服务器的攻击,安全研究人员beplay体育能用吗Web应用程序安全测试公司撕裂技术警告。
RIPS Tech报告了氧化的缺陷,该缺陷通过开发新版本的软件来解决该错误发现周二。
氧化ESHOP开始软件由包括梅赛德斯,Bitburger和Edeka在内的各种备受瞩目的公司使用。
根据RIPS Tech的说法,据说这些缺陷会影响默认配置中运行氧化ESHOP版本6.3.4的系统。
在咨询,氧化剂承认管理小组漏洞(CVE-2019-13026; CVSS得分7.5)。
它解释说:“有了专门制作的URL,攻击者将能够完全访问管理面板。”
它认为RIPS Tech发现了缺陷,但他说RIPS Tech错误地识别了受影响的软件的版本。
它告诉所有氧化ESHOP版本6都受到影响每日swbeplay2018官网ig-6.0.5和6.1.4此后已被修复。
RIPS Tech说,保证可能难以利用的缺陷可能会误解。
“我们有一个完全有效的Python2.7利用,可以直接损害氧化ESHOP,这仅需要URL作为论点,”一位技术发言人告诉每日swbeplay2018官网ig。
“这意味着攻击者可以在基础服务器上远程执行代码,安装自己的恶意插件以窃取信用卡,贝宝帐户信息以及通过商店系统通过的任何其他高度敏感的财务信息。”
他补充说:“他的工具箱中只有潜在缺失的根源漏洞可阻止对手完全拥有该系统。”
