一无所有
在发现关键的付款旁路漏洞后,已敦促使用WooCommerce扩展的在线零售商更新其系统。
通过利用一个脆弱性在NAB交易付款网关中,攻击者可能会欺骗供应商认为无薪订单已完全解决。
当提示输入付款详细信息时,不法行为可以通过发出得到根据发现安全缺陷的研究人员的说法,请求将订单号和代码以及虚假交易号的供应商网站以及伪造的交易号要求。
攻击者仍然可以利用漏洞,即使订单详细信息在订单工作流程中未能出现杰克·米西拉(Jack Misiura),,,,应用程序安全澳大利亚IT服务公司失踪链接的顾问。
他解释说,他们所要做的就是“提交无效的付款信息并获取拒绝的消息”,然后“蛮力的订单号”。“这样做将标记所有现有的未决订单。”
此利用之所以起作用,是因为NAB交易的脆弱版本未能验证付款方式处理器状态请求,Misiura揭示在8月20日的完整披露安全邮件列表中。
“没有妥协的迹象”
“令人恐惧的是,当我们进行测试时,我们注意到没有妥协的迹象,”每日swbeplay2018官网ig。
这意味着攻击者可以“按照他们想要的订购库存,将其标记为完全付款并将其交付在某个地方”,直到用户检查其银行帐户并指出从未付款。
研究人员补充说:“我想攻击者可以在这里和那里进行较小的交易,而不会被捕获很多流量的网站。”
阅读更多拒绝毛线攻击:如何防止针对无服务器设置的代价高昂的利用
由美国最大的商业银行国民银行提供的NAB交易WooCommerce扩展程序允许电子商务供应商处理其网站中的所有主要借记卡和信用卡。beplay体育能用吗
该插件与Direct Post API集成,其其他功能包括退款,风险管理,3D安全和预授权。
WooCommerce是建立在WordPress上的开源电子商务平台,不仅仅是使用500万个网站beplay体育能用吗。
没有解决方法
安全漏洞(CVE-2020-11497)在NAB Transact 2.1.0中存在,并在版本2.1.2中固定。
米西拉(Misiura)于3月27日通知了该错误的开发商。八天后,4月4日发布了一个补丁。
研究人员说,尚未发现任何解决方法可以保护任何无法应用更新的供应商。
插件开发人员提出的一种缓解措施 - “将集成从直接发布到XML API(带有PCI/DSS合规风险) - 原来是“无效”的。
每日swbeplay2018官网ig已经向NAB Transact的开发人员提出了其他问题,并在我们回来时会更新文章。
