Специалисты обнаружили серьезную уязвимость в Magento

Игорь Бахарев

В популярной версии открытой eCommerce-платформы Magento Community Edition обнаружена серьезная уязвимость. По словам специалистов компании DefenseCode, она позволяет удаленно выполнить произвольный код и полностью скомпрометировать систему. 

Злоумышленники могут получить доступ к базе данных с номерами кредитных карт и другой платежной информацей. Проблема связана с функцией, позволяющей администраторам добавлять превью видеороликов Vimeo в описания продуктов. Если файл не является изображением, система предупредит о неверном формате, но не удалит файл. 

Чтобы выполнить произвольный код, злоумышленник должен загрузить конфигурационный файл .htaccess, разрешающий запускать PHP, и сам вредоносный PHP-скрипт. Данная уязвимость не может быть проэксплуатирована напрямую: нужно иметь учетную запись на атакуемом сайте.

Уязвимость затрагивает версии Magento Community Edition 2.1.6 и ниже. Специалисты рассказали о проблеме разработчикам еще в ноябре прошлого года, однако они до сих пор не исправили ошибку. Эксперты считают, что под угрозой может оказаться также коммерческая версию Magento Enterprise, так как в ее основе лежит тот же уязвимый исходный код.

В прошлом году число сайтов, на которых встречается вредоносный JavaScript-код, нацеленный на перехват платежной информации, возросло на 69%. Одним из способов распространения вредоносного ПО является «дыра» в движке электронной коммерции Magento.

Материал по теме

Хакеры угрожают интернет-магазинам на платформе Magento

Материал по теме

Adobe покупает Magento

Материал по теме

i-Retail объединила онлайн-кассу и интернет-магазин

Подписаться на новости

Актуальное сейчас

"Яндекс.Маркет" вводит единую стоимость доставки для покупателей

С 1 июля "Яндекс.Маркет" вводит для покупателей единые тарифы на доставку. Её стоимость будет одинаковой независимо от того, кто доставляет заказ: "Маркет" или сам продавец. Единые тарифы будут влиять ...

В каких интернет-магазинах самые удобные корзины?

Markswebb завершил E-commerce Checkout Rank 2021 — первое исследование процессов чекаута в крупнейших интернет-магазинах России. Эксперты изучили корзины 25 онлайн-ритейлеров из 5 категорий непродовольственной ...

"Здравсити" внедрил функцию самовывоза за час во всех регионах присутствия

Сервис "Здравсити" запустил опцию "Забрать за час" через онлайн-бронирование товаров на сайте для 5 тысяч аптек во всех регионах присутствия. В планах "Здравсити" на 2021 год увеличить до 10 000 число аптек...

"Яндекс.Маркет" начал отдавать селлерам подробную аналитику о клиентах

"Яндекс.Маркет" теперь будет показывать партнерам, которые продают товары напрямую через маркетплейс, расширенную статистику о заказах и покупателях. Дополнительные аналитические инструменты для прод...

"Перекрёсток" запустил новый сайт

"Перекрёсток" запустил новый веб-сайт. Там можно найти полную информацию о торговой сети: адреса магазинов, открытые вакансии, собственные торговые марки и многое другое. Также на площадке есть вся информац...

"Утконос" рвётся в Non-food

"Утконос онлайн" добавил на свою витрину новую категорию "Товары для дачи, сада и огорода". До конца июня покупателям станет доступен ассортимент из 1,5 тыс. различных товаров для дачи, сада и огорода, а к ...