Уязвимости найдены в нескольких популярных веб-приложениях

Александр Панасенко 23 Декабря 2015 - 19:08

...

Специалисты швейцарской фирмы High-Tech Bridge выявили несколько уязвимостей в широко распространенных веб-приложениях. Проблемы обнаружены в e-commerce-приложенииях osCmax и osCommerce Online Merchant, open source веб-интерфейсе для почты Roundcube, CSM для досок объявлений Osclass и CMS для социальных сетей SocialEngine.

Компания High-Tech Bridge опубликовала информацию о найденных уязвимостях 21 декабря 2015 года. Однако пока специалисты не раскрывают никаких технических подробностей о проблемах, давая производителям возможность устранить уязвимости. Глава High-Tech Bridge Илья Колоченко сообщает, что ни один из найденных багов не является простым в эксплуатации.

Приложение osCmax версии 2.5.4 и ниже, а также osCommerce Online Merchant 2.3.4 и ниже содержат уязвимости, которые могут быть использованы для удаленного исполнения произвольного кода (RCE) и баг, позволяющий осуществить подделку межсайтовых запросов (CSRF), пишет xakep.ru.

Roundcube версии 1.1.3 подвержен уязвимости обход каталога, что может быть использовано для повышения привилегий и удаленного исполнения кода. Сообщается, что более ранние версии приложения, предположительно, тоже могут быть подвержены данной проблеме.

В CMS Osclass версии 3.5.9 и ниже, а также в SocialEngine версии 489 и ниже возможно осуществить SQL-инъекции.

«Обе обнаруженные SQL-уязвимости и все RCE баги дадут атакующему полный доступ к базам данных уязвимых приложений, а значит, и к пользовательским данным. RCE-уязвимости представляют большую опасность, так как с их помощью атакующий может делать в системе все что угодно. К примеру, может удалить все файлы», — рассказал Колоченко изданию SecurityWeek.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 18 Июля 2025 - 15:29

Домашние пользователи Корпорации Системы аутентификации Passkey (ключ доступа)Биометрические системы аутентификации Парольная защита (пароли) Яндекс

94% пользователей Яндекс ID перешли на вход без пароля

Сервис Яндекс ID существует уже 25 лет. Сейчас это не просто способ авторизации, а единый аккаунт, с которым люди входят в разные сервисы. Ежедневно через него активны более 136 миллионов аккаунтов — это на 15% больше, чем год назад. Главное изменение последних лет — резкий рост беспарольной аутентификации.

В 2023 году такие способы использовали 46% пользователей, в 2024 — уже 68%, а в 2025 — 94%. Люди всё чаще отказываются от паролей в пользу одноразовых кодов, отпечатков пальцев или распознавания лица. Например, вход по биометрии за год подключили более 16 миллионов человек.

Наиболее популярный способ — код из СМС (43% пользователей), за ним идёт пуш-уведомление (37%), ещё 7% используют логин и код из пуша. В зависимости от возраста и привычек предпочтения отличаются: старшие пользователи чаще выбирают СМС, молодёжь — пуши.

Мужчины чаще используют биометрию и QR-коды, женщины — вход по номеру телефона. Всё это снижает нагрузку на память (не нужно запоминать пароли) и повышает безопасность.

При этом сама система авторизации активно защищается: только в прошлом году было предотвращено 4,4 млн попыток входа с украденными паролями.

Напомним, в октябре прошлого года Яндекс ID подтвердил соответствие Отраслевому стандарту защиты данных. Не так давно мы также писали, что в Яндекс ID появилась возможность проверить и повысить защиту аккаунта.

В феврале 2024-го Яндекс ID добавил аутентификацию с помощью сканирования отпечатка пальца или лица.