Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Vulnerabilidades / Vulnerabilidad en StoreFront 6.x y anteriores

Vulnerabilidad en StoreFront 6.x y anteriores

Por Leave a Comment

Recientemente se ha dado a conocer una vulnerabilidad en StoreFront 6
y anteriores por la que un atacante podría tener acceso no autorizado
a información de usuarios legítimos.

StoreFront es un sistema de carro de compra para comercio electrónico
desarrollado sobre ASP. El sistema en sí pretende ser un interfaz
completo para comercio electrónico.

La vulnerabilidad en sí, está causada por una falta de validación en «login.asp», lo que permitirá a un atacante remoto explotar el problema mediante inyección de código SQL. Con esto el intruso conseguirá saltarse la validación del usuario legítimo.

Ejemplo:

Email del usuario registrado: ejemplo@ejemplo.com

Email id (usuario en login.asp): ejemplo@ejemplo.com

Password: ‘ or ‘a’=’a

Antonio Román
roman@hispasec.com

Más información:

Storefront sql injection: users info disclosure
http://www.zone-h.org/en/advisories/read/id=2684/

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.