Специалисты обнаружили серьезную уязвимость в Magento

Игорь Бахарев

В популярной версии открытой eCommerce-платформы Magento Community Edition обнаружена серьезная уязвимость. По словам специалистов компании DefenseCode, она позволяет удаленно выполнить произвольный код и полностью скомпрометировать систему. 

Злоумышленники могут получить доступ к базе данных с номерами кредитных карт и другой платежной информацей. Проблема связана с функцией, позволяющей администраторам добавлять превью видеороликов Vimeo в описания продуктов. Если файл не является изображением, система предупредит о неверном формате, но не удалит файл. 

Чтобы выполнить произвольный код, злоумышленник должен загрузить конфигурационный файл .htaccess, разрешающий запускать PHP, и сам вредоносный PHP-скрипт. Данная уязвимость не может быть проэксплуатирована напрямую: нужно иметь учетную запись на атакуемом сайте.

Уязвимость затрагивает версии Magento Community Edition 2.1.6 и ниже. Специалисты рассказали о проблеме разработчикам еще в ноябре прошлого года, однако они до сих пор не исправили ошибку. Эксперты считают, что под угрозой может оказаться также коммерческая версию Magento Enterprise, так как в ее основе лежит тот же уязвимый исходный код.

В прошлом году число сайтов, на которых встречается вредоносный JavaScript-код, нацеленный на перехват платежной информации, возросло на 69%. Одним из способов распространения вредоносного ПО является «дыра» в движке электронной коммерции Magento.

Материал по теме

Хакеры угрожают интернет-магазинам на платформе Magento

Материал по теме

Adobe покупает Magento

Материал по теме

i-Retail объединила онлайн-кассу и интернет-магазин

Подписаться на новости

Актуальное сейчас

Ozon и Lamoda встроят товары в кинофильмы

Онлайн-площадки Ozon и Lamoda станут партнерами площадки Сберанка SberDevices. Этот сервис видеошопинга интегрирует ассортимент маркетплейсов в видеоконтент ТВ-приставки. Как будет работать новый рекламны...

InfoLine: к 2022 году онлайн-продажи продуктов питания в России составят 400 млрд. рублей

К 2022 году онлайн-продажи продуктов питания в России составят 400 млрд. рублей, но прибегать к такому способу покупки будут лишь 10% населения РФ. Такой прогноз представил на полях выставки WorldFood Mosco...

"Пятерочка " откроет свой аналог Amazon Go уже в октябре

Первый магазин без кассиров "Пятерочки" откроется в Новой Москве, в жилом районе Испанские кварталы в октябре. Как рассказал гендиректор сети Сергей Гончаров, новый магазин будет называться "Пятерочка Экспр...

"Ашан" меняет формат в пользу онлайна

Крупные магазины "Ашан" формата "гипермаркет", которые на данный момент составляют 75% бизнеса сети, будут сокращать свои площади и менять ассортиментную политику. Об этом рассказал генеральный директор "Аш...

"Почта России": eCommerce не оправился от карантина

Число отправлений в сфере электронной коммерции снизилось в сентябре по сравнению с аналогичным периодом прошлого года, следует из очередного отчёта "Почта Барометр", подготовленного экспертами "Почты Росси...

AliExpress впервые проведет собственную конференцию для малого и среднего бизнеса

8 октября 2020 года компания AliExpress проведет первую конференцию для малого, среднего и крупного бизнеса - AERO (AliExpress Russia Online Conference). Мероприятие пройдет онлайн и объединит более 5 00...