เกี่ยวกับช่องโหว่ส่วนขยาย PDF Invoice Plus Magento
เมื่อสองสามสัปดาห์ก่อน ทีมรักษาความปลอดภัยของเรากำลังดำเนินการตรวจสอบความปลอดภัยในร้านค้าของลูกค้าโดยใช้วีโอไอพี ขณะทดสอบส่วนขยายที่ลูกค้าใช้ พบช่องโหว่ที่สำคัญในส่วนขยาย PDF Invoice Plus ส่วนขยายนี้เป็นส่วนขยายที่ใช้กันอย่างแพร่หลายโดยร้านค้าวีโอไอพีหลายร้อยแห่งเพื่อสร้างใบแจ้งหนี้ให้กับลูกค้า โดยปกติ ใบแจ้งหนี้เหล่านี้จะมีที่อยู่ของลูกค้าปลายทางและบางครั้งก็มีข้อมูลส่วนบุคคลด้วย
ผลที่ตามมาของช่องโหว่:
- การสูญเสียข้อมูลผู้ใช้ปลายทาง
- ทุกคนสามารถดาวน์โหลดใบแจ้งหนี้ของผู้ใช้รายอื่นได้
- ข้อมูลใบแจ้งหนี้รั่วไหลผ่านการใช้ Google Dorks
รายละเอียดของช่องโหว่:
- ไปที่เว็บไซต์ใดก็ได้โดยใช้ PDF Invoice Plus
- เพียงไปที่ URL เช่น:https://AnyMageStore.com/pdfinvoiceplus/order/print/order_id/208/
- เปลี่ยนค่าของ '208' . ต่อไป ใน URL และหากมีใบแจ้งหนี้ที่มีหมายเลขนั้น จะถูกดาวน์โหลด
- สามารถทำได้แม้ว่าบุคคลนั้นจะไม่ได้ลงชื่อเข้าใช้เว็บไซต์ด้วยก็ตาม!
การแสวงประโยชน์จากมวลชนที่เป็นไปได้:
เราตระหนักดีว่าเนื่องจาก URL ที่ส่วนขยาย PDF Invoice Plus ออกใบแจ้งหนี้จะยังคงคงที่สำหรับร้านค้าเกือบทุกแห่ง จึงสามารถแปลงเป็น google dork ได้ เราลองใช้ google dork ต่อไปนี้:
[ประเภทการแจ้งเตือน=”สำเร็จ” enable_close=”ไม่”]inurl:pdfinvoiceplus/[/alert] มันแสดงเว็บไซต์ทั้งหมดโดยใช้ใบแจ้งหนี้ PDF บวก:
ในร้านค้า Magento ดังกล่าว ส่วนต่อไปนี้:pdfinvoiceplus/order/print/order_id/508/ เมื่อเพิ่มลงใน URL เว็บไซต์หลักจะนำไปสู่การดาวน์โหลดใบแจ้งหนี้ที่สร้างขึ้นสำหรับลูกค้าของร้านค้านั้น เลขที่ 508 สามารถวนซ้ำ/เปลี่ยนแปลง หรือเดาได้ตามร้านค้า
ขอแนะนำเป็นอย่างยิ่งว่า หากคุณกำลังใช้ส่วนขยายนี้ โปรดอัปเดตเป็นเวอร์ชันล่าสุดเพื่อป้องกันตัวเองจากช่องโหว่ส่วนขยาย Magento นี้
ไทม์ไลน์
ทีมงาน PDF Invoice Plus เข้าใจปัญหาอย่างรวดเร็วและดำเนินการแก้ไขอย่างรวดเร็ว บุคคลหนึ่งได้รับมอบหมายอย่างรวดเร็วจากทีมของพวกเขาให้ทำงานแก้ไข ภายในเวลาไม่นาน เวอร์ชันใหม่ก็ถูกส่งไปยังเราเพื่อยืนยัน หลังจากการยืนยัน ส่วนขยายเวอร์ชันที่ปลอดภัยได้เผยแพร่ให้กับลูกค้าแล้ว