Podatność klasy Authorization Bypass Through User-Controlled Key w oprogramowaniu E-Commerce Website firmy Akilli Commerce Software Technologies Ltd. Co. umożliwia atakującemu przejęcie sesji uwierzytelnionych użytkowników bez znajomości ich danych logowania. Wysoki wynik CVSS 9.8 wskazuje na krytyczne zagrożenie dla poufności, integralności i dostępności systemu.
▸ Pokaż oryginał (EN)
Authorization bypass through User-Controlled key vulnerability in Akilli Commerce Software Technologies Ltd. Co. E-Commerce Website allows Session Hijacking. This issue affects E-Commerce Website: before 4.5.001.
Błąd (CWE-639) polega na tym, że aplikacja używa kluczy lub identyfikatorów kontrolowanych przez użytkownika (np. parametrów w URL lub ciasteczkach) do identyfikacji sesji lub zasobów, nie weryfikując należycie, czy żądający faktycznie jest uprawniony do danego zasobu. Atakujący może manipulować tymi wartościami, by podszyć się pod innego użytkownika i przejąć jego sesję (Session Hijacking). Atak nie wymaga uwierzytelnienia, interakcji ofiary ani szczególnych warunków sieciowych — możliwy jest zdalnie przez sieć publiczną.
Atakujący może w pełni przejąć sesję dowolnego użytkownika, w tym konta administratora, uzyskując nieautoryzowany dostęp do danych osobowych, historii zamówień, danych płatniczych oraz funkcji zarządzania sklepem. W zależności od uprawnień przejętego konta możliwa jest manipulacja danymi lub całkowite przejęcie kontroli nad platformą e-commerce.
Należy niezwłocznie zaktualizować oprogramowanie E-Commerce Website do wersji 4.5.001 lub nowszej. Szczegółowe informacje dostępne są w komunikacie bezpieczeństwa pod adresem: https://siberguvenlik.gov.tr/guvenlik-bildirimleri/detay/tr-26-0222
Oprogramowanie E-Commerce Website firmy Akilli Commerce Software Technologies Ltd. Co. we wszystkich wersjach przed 4.5.001.
Podatność została zgłoszona przez tureckie centrum cyberbezpieczeństwa (TR-CERT) pod identyfikatorem TR-26-0222. Producent oprogramowania to firma turecka — Akilli Commerce Software Technologies Ltd. Co.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H