Исследователи обнаружили уязвимость в платформе электронной коммерции SuiteCommerce от Oracle Netsuite, которая может позволить злоумышленникам украсть конфиденциальные данные с веб-сайтов.
Согласно отчету компании AppOmni, уязвимость связана с некорректно настроенными контролями доступа в экземплярах SuiteCommerce, особенно в пользовательских типах записей (CRTs) – таблицах, создаваемых корпоративными клиентами SuiteCommerce.
Эти таблицы обычно содержат важные данные клиентов, а также информацию о бизнес-операциях. Злоумышленники, которые смогут получить доступ к этим данным, могут украсть адреса клиентов, номера телефонов, историю заказов и многое другое.
Исправление проблемы
Исследователи AppOmni заявили, что уязвимость может поставить под угрозу множество малых и средних предприятий, так как у них редко есть ресурсы для выявления и устранения подобных ошибок.
Хорошая новость заключается в том, что NetSuite уже признала выводы AppOmni и работает над патчем. Компания также призвала всех пользователей SuiteCommerce пересмотреть свои настройки безопасности и применять рекомендуемые передовые практики, чтобы защитить CRTs от злоумышленников и других неаутентифицированных пользователей.
«Анализируя безопасность SaaS приложений, становится ясно, что неаутентифицированное раскрытие данных через SaaS приложения является одной из главных угроз для предприятий,» написал Аарон Костелло, руководитель исследовательского отдела по безопасности SaaS в AppOmni. «Кроме того, по мере того, как поставщики вводят все более сложные функции в свои продукты для поддержания конкурентоспособности, эти риски будут становиться еще более распространенными.»
По мнению Костелло, организациям будет сложно справляться с этими проблемами, поскольку они часто обнаруживаются «только благодаря индивидуальным исследованиям,» на которые у многих компаний нет ни времени, ни денег.
Это, по его утверждению, особенно актуально для крупных предприятий, “которые внедрили несколько корпоративных SaaS приложений для выполнения различных требований в рамках своих бизнес-процессов.”
Источник: TechRadar
