هزاران سایت Oracle NetSuite در معرض خطر افشای اطلاعات کاربران 

security news

محققان امنیت سایبری در مورد کشف هزاران سایت تجارت الکترونیکی خارجی Oracle NetSuite که مستعد افشای اطلاعات حساس مشتریان هستند، هشدار دادند.

محقق AppOmni گفت: «یک مشکل احتمالی در پلتفرم SuiteCommerce NetSuite می‌تواند به دلیل پیکربندی اشتباه کنترل‌های دسترسی در custom record types (CRTs)ُ، امکان دسترسی به داده‌های حساس را برای نفوذگران فراهم آورد.

شایان ذکر است که این مشکل یک ضعف امنیتی در محصول NetSuite نیست، بلکه یک پیکربندی نادرست کاربر است که می‌تواند منجر به نشت داده‌های محرمانه شامل آدرس کامل و شماره تلفن همراه مشتریان ثبت نام شده سایت‌های تجارت الکترونیک شود.

در سناریوی حمله‌ای که توسط AppOmni شرح داده شده است از CRTهایی با کنترل‌های دسترسی table-level با نوع دسترسی “بدون نیاز به مجوز” یا “No Permission Required” استفاده می‌شود، که با به کارگیری رکوردهای NetSuite و APIهای جستجو به کاربران غیر مجاز دسترسی به داده‌ها را می‌دهد.

گفتنی است که برای موفقیت این حمله، تعدادی پیش نیاز وجود دارد که مهمترین آنها نیاز نفوذگر به دانستن نام CRTهای در حال استفاده است.

 

https://thehackernews.com/2024/08/thousands-of-oracle-netsuite-sites-at.html