آسیب پذیری اجرای کد از راه دور در سایت Ebay

موسسه خبری سایبربان: دیوید ویرا کروز، یک محقق امنیتی از آلمان، آسیب پذیری اجرای کد از راه دور جالبی را در وب سایت eBay کشف کرده است.یک مهاجم می‌تواند از این آسیب پذیری برای اجرای دستورات سیستم عامل و خدشه دار کردن کل سرور استفاده کند.

پارامترq  در صفحه جستجوی دامنهEbay آسیای جنوبی (ebay.com/search/?q=david&catidd=1) در اجرای کد از راه دور آسیب پذیر نشان داده شده است. این محقق بطور هوشمندانه ای توانست با عبور از پارامترq  به عنوان آرایه ای با یک فرمان  این امر را با موفقیت انجام دهد.

اثبات این مفهوم توسط پرینت‌های اطلاعاتی محقق مربوط به PHP  درحال اجرا سرور ارائه شده است:
  ebay.com/search/?q[0]=david&q[1]=sec{${phpinfo()}}&catidd=1

یک مهاجم می‌تواند از این آسیب پذیری برای اجرای دستورات سیستم عامل و خدشه دار کردن کل سرور استفاده کند. با این حال، دیوید در مورد این آسیب پذیری به تیم امنیتی  Ebay گزارش داد و در حال حاضر این آسیب پذیری اصلاح شده است . او همچنین یک آسیب پذیری تزریق  SQL را در دامنه مشابه ای در سال گذشته کشف کرد. eBay، یک وب‌گاه مزایده اینترنتی است که مقر آن در کالیفرنیا در ایالات متحده آمریکا می‌باشد./