osCommerce 4 Siteler Arası Güvenlik Açığı CVE-2023-6296

• 28 Kas 2023

CVE-2023-6296: osCommerce 4 Siteler Arası Komut Dosyası Çalıştırma Güvenlik Açığının Kapsamlı Analizi

Bu blog yazısında, osCommerce 4'te yakın zamanda keşfedilen ve CVE-2023-6296 olarak tanımlanan siteler arası komut dosyası çalıştırma (XSS) güvenlik açığını tartışacağız. Bu güvenlik açığı sorunlu olarak değerlendirildi ve saldırganların sitenin içeriğini değiştirmesine, potansiyel olarak kullanıcıların oturum belirteçlerini veya oturum açma kimlik bilgilerini çalmasına olanak tanıyor.[2]

Arka plan osCommerce 4, açık kaynaklı bir e-ticaret platformudur ve güvenlik açığı, Anlık İleti İşleyicisi bileşeninde, özellikle /catalog/compare işlevinde bulunmuştur.[1]. Güvenlik açığı satıcı osCommerce Ltd.'ye bildirildi ancak satıcı hiçbir şekilde yanıt vermedi[1].

Güvenlik Açığı Ayrıntıları Bu güvenlik açığı, saldırganların e-posta veya anlık mesaj yoluyla kötü amaçlı bir URL göndererek sitenin içeriğini değiştirmesine olanak tanıyor. Saldırgan, karşılaştırma bağımsız değişkenini belirli bir girdiyle değiştirerek siteler arası komut dosyası çalıştırma (XSS) çalıştırabilir.[1]. Bu, kullanıcıların oturum belirteçlerinin veya oturum açma kimlik bilgilerinin çalınmasına yol açabilir ve saldırı uzaktan başlatılabilir[1].

Şiddet ve Etki Güvenlik açığına orta önem derecesini gösteren 4,3 VulDBBase Puanı verildi[5]. Bu güvenlik açığının olası etkisi şunları içerir:

• Kullanıcı hesaplarına yetkisiz erişim

• Hassas bilgilerin çalınması

• Sitenin işlevselliğinin bozulması

Sömürü Saldırganın bu güvenlik açığından yararlanabilmesi için, Anlık İleti İşleyicisi bileşeninin /catalog/compar işlevindeki karşılaştırma bağımsız değişkenini değiştiren kötü amaçlı bir URL oluşturması gerekir.[1]. Saldırgan daha sonra bu URL'yi kurbana e-posta veya anlık mesajlaşma yoluyla gönderebilir ve bu da XSS saldırısını gerçekleştirmesine olanak tanır.[1].

Azaltma Bu güvenlik açığıyla ilişkili riski azaltmak için kullanıcılara şunları yapmaları önerilir:

1. Güvenlik açığı daha yeni bir sürümde giderilmiş olabileceğinden osCommerce 4'ün en son sürümüne güncelleyin.

2. Kullanıcı hesaplarına yetkisiz erişimi önlemek için güçlü erişim kontrolleri ve kimlik doğrulama mekanizmaları uygulayın.

3. Yetkisiz erişim veya şüpheli faaliyet belirtilerine karşı siteyi düzenli olarak izleyin ve inceleyin.

Çözüm osCommerce 4'teki CVE-2023-6296 güvenlik açığı, saldırganların potansiyel olarak kullanıcı hesaplarını tehlikeye atmasına ve hassas bilgileri çalmasına olanak tanıyan önemli bir güvenlik riskidir. Kullanıcıların riski azaltmak ve osCommerce 4 kurulumlarının güvenliğini sağlamak için gerekli önlemleri alması büyük önem taşıyor.

Citations:

[1] https://github.com/advisories/GHSA-63fm-6c9f-hvf6

[2] https://en.cyberhat.online/forum/daily-cve-english/security-vulnerabilities-released-26-november-2023