Уязвимость в nopCommerce позволяет злоумышленникам перехватывать учетные записи через файлы cookie

Исследователи в области кибербезопасности обнаружили критическую уязвимость в популярной платформе для электронной коммерции nopCommerce. Эта платформа с открытым исходным кодом используется многими крупными компаниями, включая Microsoft, Volvo и BMW. Проблема позволяет злоумышленникам получать несанкционированный доступ к учетным записям пользователей и администраторов, используя перехваченные сессионные файлы cookie.

Детали уязвимости

Уязвимость получила идентификатор CVE-2025-11699 и классифицируется как недостаточная инвалидация сессионных файлов cookie. Её уровень серьёзности оценивается как высокий. Проблема кроется в механизме выхода из системы. Когда законный пользователь завершает сеанс, платформа, построенная на ASP.NET Core, некорректно аннулирует его сессионные файлы cookie. Следовательно, эти файлы остаются действительными даже после логаута.

В результате злоумышленник, получивший такой файл, может использовать его для доступа к защищенным разделам сайта. Под угрозой оказываются административные интерфейсы и персональные данные клиентов. При этом атака может быть успешной спустя долгое время после того, как первоначальный владелец учётной записи вышел из системы. Перехват сессии через кражу файлов cookie - не новая тактика, но она остается крайне эффективной.

Злоумышленники обычно добывают файлы cookie с помощью межсайтового скриптинга, перехвата сетевого трафика или компрометации устройства пользователя. Затем эти данные часто продаются на подпольных форумах другим киберпреступникам. Уязвимость затрагивает версии nopCommerce 4.70 и более ранние, а также версию 4.80.3. Платформа интегрируется с API служб доставки и сетями распространения контента, что делает её критически важным компонентом для многих онлайн-бизнесов.

Особую озабоченность вызывает тот факт, что эта уязвимость является повторением проблемы CVE-2019-7215, выявленной несколько лет назад. Это указывает на недостаточное внимание к улучшению механизмов аутентификации в кодовой базе проекта. Злоумышленники активно используют подобные уязвимости для различных целей. Например, похищенные сессионные данные применялись для запуска атак с использованием вредоносного ПО-шифровальщика, кражи криптовалюты и проведения несанкционированных финансовых операций.

Для бизнеса, использующего nopCommerce, компрометация всего одной административной сессии может привести к катастрофическим последствиям. Злоумышленники получают полный контроль над магазином, что позволяет им похищать базы данных клиентов, манипулировать заказами и платежами или размещать вредоносный код. Разработчики nopCommerce уже выпустили патчи, устраняющие эту проблему. Пользователи версий 4.70 и выше, за исключением версии 4.80.3, защищены.

Владельцам сайтов на версии 4.80.3 или более ранних необходимо как можно скорее обновиться до версии 4.90.3 или последнего стабильного релиза. Системным администраторам настоятельно рекомендуется расценить это обновление как приоритетное, поскольку уязвимость представляет прямую угрозу конфиденциальности клиентов и финансовым активам компании. Процесс обновления должен быть завершен в кратчайшие сроки для минимизации рисков.

Данный инцидент вновь подчеркивает сохраняющиеся проблемы безопасности в платформах для электронной коммерции. Тот факт, что аналогичная уязвимость существовала в 2019 году, свидетельствует о возможном системном пренебрежении лучшими практиками управления сессиями. Корректное аннулирование файлов cookie при выходе из системы является базовым требованием безопасности для любой системы аутентификации.

Организациям, использующим nopCommerce, после установки обновлений рекомендуется провести аудит безопасности. Это поможет выявить любые подозрительные действия в учётных записях, которые могут указывать на возможную эксплуатацию уязвимости в прошлом. Постоянный мониторинг и своевременное применение патчей остаются ключевыми элементами защиты цифровых активов.

Детали уязвимости

Ссылки