Defense Code รายงานช่องโหว่ของระบบอีคอมเมิร์ช Magento ที่ได้รับความนิยมเป็นอย่างสูงรวมถึงในบ้านเราเอง โดยระบบพรีวิววิดีโอจาก Vimeo จะดาวน์โหลดภาพสินค้าตัวอย่างเสมอ และแม้ว่าตัวซอฟต์แวร์จะตรวจสอบไฟล์ที่กำลังดาวน์โหลดว่าเป็นภาพจริงหรือไม่ แต่ก็ดาวน์โหลดไฟล์เสมอแม้จะผิดพลาดก็ตามทำให้แฮกเกอร์ทำโค้ดไปวางบนเซิร์ฟเวอร์ของเหยื่อได้

ตัวช่องโหว่นี้จำกัดเฉพาะผู้มีสิทธิโพสและพรีวิววิดีโอจาก Vimeo ซึ่งก็น่าจะเป็นคนที่มีสิทธิ์โพสสินค้าได้เท่านั้น (รายงานระบุว่าผู้ที่เข้าถึงหน้า admin ทุกคนใช้งานได้) แต่ Defense Code ก็เตือนว่าแฮกเกอร์สามารถล่อให้เหยื่อเรียก URL นี้ขึ้นมาด้วยการทำ cross-site request forgery (CSRF) ได้

ทาง Defense Code รายงานช่องโหว่นี้ไปตั้งแต่เดือนพฤศจิกายนปีที่แล้ว แต่ทาง Magento ก็ยังไม่แก้ไขจนกระทั่งเวอร์ชั่นล่าสุดเมื่อวันที่ 11 เมษายนที่ผ่านมาก็ยังไม่แก้ไข เมื่อทาง ThreatPost ติดต่อไป ทาง Magento ระบุว่ากำลังอยู่ระหว่างการหาสาเหตุที่แท้จริง และไม่พบการโจมตีในโลกความเป็นจริงแต่อย่างใด

ที่มา - ThreatPost