MyStore vulnerable a Cross-Site Scripting: Miles de sitios afectados

MyStore es una plataforma de comercio electrónico (eCommerce) escrita en PHP y utilizada por miles de sitios web. La plataforma tiene una vulnerabilidad Cross-Site Scripting en el archivo usado para desplegar errores al usuario, en el módulo de administración y es accesible por cualquier usuario sin previa autentificación, por lo que es posible explotar la vulnerabilidad y preparar un ataque hacia los clientes de los sitios web que implementan el sistema. Según Google, son un poco más de mil sitios los que utilizan esta plataforma y que serían vulnerables a este tipo de ataques. Al tratarse de un eCommerce, esta vulnerabilidad es aún más peligrosa ya que el atacante podría explotarla para obtener información de los usuarios como números de tarjetas de crédito, correos, usuarios y contraseñas, todo esto mediante phishing, usando el dominio del sitio en el que el usuario confía. Tambien se pueden elaborar ataques mas sofisticados para robar las sesiones a los usuarios que previamente hayan iniciado sesión. La vulnearbilidad se encuentra en el archivo "error.php" y se produce al no filtrar los parametros de entrada mediante las variables "p" y "s". El script simplemente imprime el valor de las variables, sin filtrarlas ni escapar caracteres, permitiendo XSS. Una lista de algunos sitios afectados:

abysinvitationsprintshop.com accesorioselauto.com adobetecnoterra.com adrenalinamotor.mx akarienlinea.com aldebaranuno.com aleissi.mx anabolicstorexpress.com ankah2o.com antibalastucomprasegura.com aquatica-online.com armarecuerdoseinvitaciones.com armyatvstore.com babybodega.mx bazar12.com beerandfashionmexico.com bellezanutritiva.com.mx bichitour.com bienesraicespremium.com bigjockey.com billyoplazapiel.com blancoscorona.com bricks-store.com cajasybolsas.com caramolli.com cavaboutique.com ceciliamartinezgarza.com centralnt.com colofoninfantil.com comercialdeestanteria.com.mx comerciantes.mx compraconplazo.com compupagos.com.mx compuventa-online.com contitech-solutions.com cosasdeingenieria.com decocuadros.com.mx dekocuadros.com deyacut.com digielectronik.com distribuidorazaqueo.com diveencounters.mx doshik.com e-tronic-shop.com edicionesuromex.com elgloborojotienda.com ellamodas.com elmundodelasfajas.com enac-audio.com enelbazarxalapa.com entradaxsalida.com enviamiregalo.com eplaza.com.mx fantasias-daniel.com farmaciadelnino.com fashion1services.com fastlapstore.com fermentando.com.mx florerialorena.com forjasdesign.com fraganciamania.com.mx fvi.mx gadgetmex.com galeriagalamania.com globaris-shop.com grupocomputacionaldeco.com grupoelrey.com gscomputadoras.com hogarynegocio.com hypnosefashionstore.com imperiusarts.com importacionesecm.com indumaqsa.com infoxweb.com inhaus.mx irrealcandybar.com its-acapulco.com javoil.com joyeriasagara.com julianna-jewelry.com kingmonstermty.com kiutstore.com konexionmusical.com lacombasoccer.com ladecimaletragdl.com lapsrepairs.com lasmatadoras.com libros.com.mx liderpowertools.com lizfloreria.com lunerougeboutique.com maimaitienda.com mandycreaciones.com manikin-online.com maniquiesonline.com maquinariaexpress.com megapixelcomputadoras.com mercaditoparati.com mexi-cali.net modayregalos.com mothernity.com.mx mtystore.com muebleriamaya.com mundoescolar11.com mydogpharma.com naturatoshop.com naturenmexico.com nochederio.com onlineplayeras.com ouletgnc.com pa-xi.com paraleer.com pasatiempo-juguetes.com petnc.com pinnacleventa.com plazamesonesvirtual.com pro-limp.com prodoorventas.com psmodelismo.com r3silencia.com raqmar.com.mx rcomunicaciones.com recuerdosybolos.com reducingbodysiluet.com regala123.com regala123.com.mx regalosconvida.com reguladoresypcs.com safetystoremexico.com seducelo.com seducelo.com.mx setfi.us.com sexylencerias.com shop4evermx.com siaproductos.com sistemascompac.com sitesirve.com smart-atic.com solarislabs.com solodebateria.com spixalapa.com sportjordan.com store-htpro.com sunlounge.com.mx taipacificoimportaciones.com techosmas.com tecnologiailimitada.com tenisclubcolombia.com thecellulardepot.com theredzone.com.mx tienda128.mystorexpress.com tienda573.mystorexpress.com tiendabolsasbichat.com tiendadicer.com tiendaenriko.com tiendaofficeadm.com tiendapetmark.com tiendatn.com tinkert.com todocompu.com transfermania.com.mx treneshodemexico.com treneshodetexas.com trovarti.com tucalentadordepaso.com.mx tumejorcompra.net tumueblebarato.com tumundodeportivo.com vinilium.com winemexsa.com

Para buscar la lista completa de los sitios afectados, puedes realizar la siguiente busqueda en Google: inurl:mystore inurl:error.php filetype:php Tambien se reportaron algunas vía secureless. La empresa que está detras de este sistema ya ha sido notificada.