Вчера эксперты по безопасности компании SecurityTracker сообщили об уязвимости в программных продуктах для электронной коммерции sglMerchant и Hassan Consulting's Shopping. Недостатки в защите программы sglMerchant дают возможность пользователям удаленно выполнять системные команды, управлять сервером, иметь доступ к личным данным клиентов. В программе Hassan Consulting's Shopping Cart имеется аналогичная уязвимость, дающая пользователю права администратора на сервере. В первом случае, причина проблемы лежит в возможности несанкционированной навигации по директориям веб-сайта с помощью команды "../". В другом случае, такая команда фильтруется, но также может быть выполнена. Источник: Журнал "Компьютерра" |