TR | EN | DE | Our Site

OpenCart Güvenlik Açıkları CVE-2024-21519, CVE-2024-21518, CVE-2024-21517, CVE-2024-21516, CVE-2024-21515, CVE-2024-21514

byCrow -

 OpenCart Güvenlik Açıkları CVE-2024-21519, CVE-2024-21518, CVE-2024-21517, CVE-2024-21516, CVE-2024-21515, CVE-2024-21514

22 Haziran 2024
22 Haziran 2024'te OpenCart  platformlarında çok sayıda kritik güvenlik açığı keşfedildi. Bu güvenlik açıkları kullanıcılar için önemli riskler oluşturmakta ve zamanında güncellemeler ile güvenlik önlemlerinin önemini vurgulamaktadır.

CVE-2024-21519: OpenCart'ta Rastgele Dosya Oluşturma

İlk güvenlik açığı olan CVE-2024-21519, OpenCart'ın 4.0.0.0'dan sonraki sürümlerini etkiliyor. Bu güvenlik açığı OpenCart'taki veritabanı geri yükleme işleviyle ilgilidir. Yönetici ayrıcalıklarına sahip bir saldırgan, veritabanına PHP kodunu enjekte edebilir ve dizin içinde, uzantı da dahil olmak üzere isteğe bağlı bir dosya adına sahip bir yedekleme dosyası oluşturabilir. Oluşturulan dosyanın web kökünde bulunma olasılığı daha düşük olsa da, bu güvenlik açığı derhal giderilmezse yine de önemli bir risk teşkil etmektedir./system/storage/backup

CVE-2024-21518: OpenCart Marketplace Yükleyicisinde Zip Slip

İkinci güvenlik açığı olan CVE-2024-21518, OpenCart'ın 4.0.0.0'dan sonraki sürümlerini etkiliyor. Bu güvenlik açığı OpenCart'taki pazar yeri yükleyicisiyle ilgilidir. Hedef yolun uygunsuz şekilde temizlenmesi nedeniyle, kötü amaçlı bir arşivdeki dosyalar dosya sisteminden geçerek rastgele konumlara çıkarılabilir. Bu, saldırganın uygulamanın web kökünde rastgele dosyalar oluşturmasına ve mevcut dosyaların üzerine yazmasına olanak tanır. Bu güvenlik açığı özellikle tehlikelidir çünkü hassas verilere yetkisiz erişim sağlamak için kullanılabilir.

CVE-2024-21517: OpenCart Müşteri Hesabı/Giriş Rotasında Yansıyan XSS

Üçüncü güvenlik açığı CVE-2024-21517, OpenCart'ın 4.0.0.0 sürümlerini etkiliyor. Bu güvenlik açığı, müşteri hesabı/giriş yolunun yönlendirme parametresiyle ilgilidir. Bir saldırgan, sayfa yanıtına isteğe bağlı HTML ve JavaScript ekleyebilir. Bu güvenlik açığı özellikle tehlikelidir çünkü OpenCart mağazasının müşterilerini hedef almak ve onlara saldırmak için kullanılabilir. Bu güvenlik açığına yönelik düzeltmenin henüz tamamlanmaması, kullanıcıları daha sonraki saldırılara karşı savunmasız bırakıyor.

CVE-2024-21516: OpenCart Admin Common/FileManager.List Rotasında Yansıyan XSS

Dördüncü güvenlik açığı olan CVE-2024-21516, OpenCart'ın 4.0.0.0 sürümlerini etkiliyor. Bu güvenlik açığı admin common/filemanager.list yolunun dizin parametresiyle ilgilidir. Saldırgan, kullanıcıyı kötü amaçla oluşturulmuş bir URL'ye tıklaması için kandırarak kullanıcının belirtecini elde edebilir. Saldırıya uğrayan kullanıcının yönetici ayrıcalıkları varsa, bu güvenlik açığı Zip Slip veya yönetici işlevindeki rastgele dosya yazma güvenlik açıkları gibi bir dizi istismarın başlangıcı olarak kullanılabilir. Bu güvenlik açığına yönelik düzeltmenin henüz tamamlanmaması, kullanıcıları daha sonraki saldırılara karşı savunmasız bırakıyor.

CVE-2024-21515: OpenCart Yönetici Aracında/Günlük Rotasında Yansıyan XSS

Beşinci güvenlik açığı CVE-2024-21515, OpenCart'ın 4.0.0.0'dan sonraki sürümlerini etkiliyor. Bu güvenlik açığı, yönetici aracı/günlük yolunun dosya adı parametresiyle ilgilidir. Saldırgan, kullanıcıyı kötü amaçla oluşturulmuş bir URL'ye tıklaması için kandırarak kullanıcının belirtecini elde edebilir. Saldırıya uğrayan kullanıcının yönetici ayrıcalıkları varsa, bu güvenlik açığı Zip Slip veya yönetici işlevindeki rastgele dosya yazma güvenlik açıkları gibi bir dizi istismarın başlangıcı olarak kullanılabilir. Bu güvenlik açığına yönelik düzeltmenin henüz tamamlanmaması, kullanıcıları daha sonraki saldırılara karşı savunmasız bırakıyor.

CVE-2024-21514: OpenCart Divido Ödeme Uzantısına SQL Ekleme

Altıncı güvenlik açığı CVE-2024-21514, OpenCart'ın 0.0.0'dan sonraki sürümlerini etkiliyor. Bu güvenlik açığı, 3.0.3.9 sürümünde varsayılan olarak bulunan OpenCart'a yönelik Divido ödeme uzantısıyla ilgilidir. Kimlik doğrulaması yapılmamış anonim bir kullanıcı, arka uç veritabanına yetkisiz erişim elde etmek için SQL enjeksiyonundan yararlanabilir. Bu güvenlik açığı müşteri PII verileri için önemli bir risk teşkil etmekte ve zamanında güncellemeler ile güvenlik önlemlerinin önemini vurgulamaktadır.

Çözüm

22 Haziran 2024'te keşfedilen güvenlik açıkları, zamanında güncelleme ve güvenlik önlemlerinin önemini vurguluyor. Bu güvenlik açıkları kullanıcılar için önemli riskler oluşturmakta ve sağlam güvenlik uygulamalarına duyulan ihtiyacı göstermektedir. Kullanıcıların yazılımlarını en son sürümlere güncellemeleri ve bu güvenlik açıklarına karşı koruma sağlamak için güçlü güvenlik önlemleri uygulamaları çok önemlidir.

Referanslar

  1. CVE'yi açın. "Güvenlik açıkları (CVE) - OpenCVE." OpenCVE, 2024.
  2. Güvenlik Açığı. "OpenCart'ın Yansıttığı XSS ​​Güvenlik Açığı 4.0.0.0 ve Altındaki Sürümleri Etkiliyor." Güvenlik Açığı, 2024.
  3. CVE Beslemesi. "CVE-2024-21517 - Bu, opencart paketinin sürümlerini etkiler..." CVE Feed, 2024.
  4. CVE Beslemesi. "CVE-2024-21518 - Bu, opencart paketinin sürümlerini etkiler..." CVE Feed, 2024.
  5. CVE Ayrıntıları. "Güvenlik açıkları, CVE'ler, 2024'te yayınlandı." CVE Ayrıntıları, 2024.
Tags

Yorum Gönder

Daha yeni Daha eski

İletişim Formu