Специалисты обнаружили серьезную уязвимость в Magento

Игорь Бахарев

В популярной версии открытой eCommerce-платформы Magento Community Edition обнаружена серьезная уязвимость. По словам специалистов компании DefenseCode, она позволяет удаленно выполнить произвольный код и полностью скомпрометировать систему. 

Злоумышленники могут получить доступ к базе данных с номерами кредитных карт и другой платежной информацей. Проблема связана с функцией, позволяющей администраторам добавлять превью видеороликов Vimeo в описания продуктов. Если файл не является изображением, система предупредит о неверном формате, но не удалит файл. 

Чтобы выполнить произвольный код, злоумышленник должен загрузить конфигурационный файл .htaccess, разрешающий запускать PHP, и сам вредоносный PHP-скрипт. Данная уязвимость не может быть проэксплуатирована напрямую: нужно иметь учетную запись на атакуемом сайте.

Уязвимость затрагивает версии Magento Community Edition 2.1.6 и ниже. Специалисты рассказали о проблеме разработчикам еще в ноябре прошлого года, однако они до сих пор не исправили ошибку. Эксперты считают, что под угрозой может оказаться также коммерческая версию Magento Enterprise, так как в ее основе лежит тот же уязвимый исходный код.

В прошлом году число сайтов, на которых встречается вредоносный JavaScript-код, нацеленный на перехват платежной информации, возросло на 69%. Одним из способов распространения вредоносного ПО является «дыра» в движке электронной коммерции Magento.

Материал по теме

Хакеры угрожают интернет-магазинам на платформе Magento

Материал по теме

Adobe покупает Magento

Материал по теме

i-Retail объединила онлайн-кассу и интернет-магазин

Подписаться на новости

Актуальное сейчас

Эксперты: как изменилась география российского рынка eСommerce

Регионы являются безусловным драйвером роста российской онлайн-торговли, считают эксперты Международного форума электронной коммерции и торговли Ecomference Rupost Retail Week. Аналитики рассказали об измен...

Монетизация eСommerce: как удержать пользователей на iOS 15+ и повысить лояльность во время праздников

По оценкам компании eMarketer, в этом году на время праздников мировые продажи в онлайн-магазинах вырастут на 11,3 % и составят примерно 207 миллиардов долларов. Но  e-commerce-брендам для того, чтобы отстоя...

Ventra Go! открыла услугу набора курьеров с почасовой оплатой

Платформа Ventra Go! открыла услугу набора курьеров с почасовой оплатой. По словам представителей сервиса, решение добавить новую категорию было оперативно принято после того, как период с 30 октября по...

Wildberries тестирует доставку дронами

Wildberries запустила тестовые полеты беспилотных дронов, которые доставляют заказы в труднодоступные регионы страны. Пока что испытания проходят в Подмосковье, следующая стадия тестирования намечена на Инн...

Лекарства из "Сбер Еаптеки" приедут за 1,5 часа

"Сбер Еаптека" начала доставлять безрецептурные препараты в партнерстве с онлайн-ритейлером "Самокат". На первом этапе доставка будет работать в 11 районах на севере Москвы. В дальнейшем территория будет ра...

Мужчины и женщины: портреты покупателей в fashion

В этом году покупатели-мужчины сделали на платформе Lamoda на 22% онлайн-заказов больше, чем годом ранее. Их средний чек оказался почти на треть выше (+31%), чем в 2020 году. Женщины остаются самыми ...