اخطار! ماژول زرین پال حفره امنیتی دارد !!!
سلام! امروز همین طوری به سایت سبد خرید رفتم و دیدم همچین چیزی نوشته شده :
اخطار! ماژول زرین پال حفره امنیتی دارد !!!
اخطار!!
با توجه به انتشار ماژول غیر رسمی سرویس پرداختی موسوم به زرین پال که در سایت این سرویس قابل دریافت است، شرکت رادفا اعلام می دارد فایل ارائه شده به هیچ وجه مطمئن نبوده و امکان هک کل سیستم و انتشار اطلاعات مهم از قبیل رمز عبور مدیریت، همچنین امکان از دست رفتن اطلاعات محصولات، مشتریان و سایر بخش های فروشگاه را فراهم می سازد.
لذا خواهشمندیم به هیچ وجه از این ماژول استفاده نفرمایید. در صورت استفاده و به وجود آمدن مشکل، شرکت هیچ گونه مسئولیتی در قبال مشکل نخواهد داشت!
جزئیات فنی:
در دو فایل مربوطه (modules/payment/zarinpal.php) و (includes/zarinpal.php) مقادیری از طریق متد get و post دریافت شده به طور مستقیم به عنوان دستورات SQL بر روی دیتابیس اجرا می گردد که امکان اجرای دستورات SQL injection را برای هکر فراهم می سازد.
با اجرای یک injection ساده توسط هکر، نفوذ به اطلاعات فروشگاه میسر خواهد شد.
منبع خبر : فروشگاه ساز سبد خرید : فروشگاه ساز اینترنتی , راه اندازی فروشگاه اینترنتی - فروشگاه ساز سبدخرید
