“OXID eShop”软件的严重缺陷使电子商务网站面临黑客攻击

氧化eShop平台，您需要立即更新它，以防止您的网站受到损害。

网络安全研究人员在OXID eShop电子商务软件中发现了两个关键漏洞，未经验证的攻击者可以在不到几秒钟的时间内远程控制易受攻击的电子商务网站。

OXID eShop是德国领先的电子商务商店软件解决方案之一，其企业版正被包括梅赛德斯、比特堡和爱德卡在内的行业领导者所使用。

RIPS Technologies GmbH的安全研究人员在《黑客新闻》上分享了他们的最新发现，详细介绍了影响最新版本的企业版、专业版和社区版OXID eShop软件的两个关键安全漏洞。

需要注意的是，攻击者和受害者之间绝对不需要交互来执行这两个漏洞，并且这些漏洞会对电子商务软件的默认配置产生影响。

OXID eShop:SQL注入缺陷

第一个漏洞被指定为CVE-2019-13026，是一个SQL注入漏洞，未经验证的攻击者可以在运行任何易受攻击版本的OXID eShop软件的网站上使用自己选择的密码简单地创建一个新的管理员帐户。

研究人员告诉《黑客新闻》：“在查看产品详细信息时，可以利用未经验证的SQL注入。由于底层数据库使用PDO数据库驱动程序，可以使用堆叠查询将数据插入数据库。在我们的利用中，我们滥用此漏洞插入新的管理员用户。”。

以下是研究人员与《黑客新闻》分享的概念验证视频，展示了这种攻击：
尽管PDO数据库系统的设计目的是防止使用预处理语句的SQL注入攻击，但使用动态构建SQL命令可能会使堆叠查询受到污染的风险更高。

OXID eShop：远程代码执行缺陷

第二个漏洞是PHP对象注入问题，它存在于OXID eShop软件的管理面板中，当用户提供的输入在传递到unserialize（）PHP函数之前未正确清理时，就会发生该漏洞。

可以利用此漏洞在服务器上远程执行代码；但是，它需要使用第一个漏洞获得管理访问权限。

研究人员告诉《黑客新闻》：“第二个漏洞可以被链接起来，在服务器上获得远程代码执行。我们有一个完全有效的Python2.7漏洞，它可以直接危害OXID eShops，只需要URL作为参数。”。

以下是显示RCE攻击的视频演示：
一旦成功，攻击者可以在底层服务器上远程执行恶意代码，或安装自己的恶意插件，窃取用户的信用卡、PayPal帐户信息以及通过eShop系统传递的任何高度敏感的财务信息；就像魔车攻击一样。

RIPS研究人员负责地向OXID eShop报告了他们的发现，该公司承认了这个问题，并通过发布OXID eShop v6解决了这个问题。对于所有三个版本，分别为0.5和6.1.4。

该公司似乎没有修补第二个漏洞，只是通过解决第一个问题缓解了它。然而，在未来，如果发现任何管理接管问题，它将恢复RCE攻击。