Skoči na vsebino

SI-CERT 2011-03 / Več ranljivosti osCommerce platforme

Opis

Sistem za spletno trgovino osCommerce vsebuje več ranljivosti, ki omogočijo napadalcu vstavljanje kode, kar ogrozi varnost obiskovalcev trgovin. Napadalec običajno preko ranljivosti spremeni spletne strani in vstavi referenco na zlonamerno kodo, ki skuša izkoristiti varnostne ranljivosti v obiskovalčevem spletnem brskalniku (t.i. “drive-by” napad).

SI-CERT je v zadnjih dneh obravnaval nekaj napadov na slovenske spletne trgovine. Napadalec običajno vstavi HTML oznako oblike <script src=“… lokacija zlonamerne kode …”></script> takoj za naslovom strani (oznako <title>).

Rešitev

Vsem ponudnikom, ki uporabljajo osCommerce platformo, svetujemo nadgradnjo na verziji 2.3.1 ali 3.0.2, ki sta na voljo na naslovu http://www.oscommerce.com/solutions/downloads.

Če ste bili žrtev napada, potem se lahko obrnete na SI-CERT preko elektronskega naslova cert@cert.si. Zabeležite datum in čas spremembe prizadetih PHP in HTML datotek, ter shranite dnevnike spletnega strežnika (log file).

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več