Напишите нам
Специалисты обнаружили серьезную уязвимость в Magento
Игорь Бахарев
В популярной версии открытой eCommerce-платформы Magento Community Edition серьезная уязвимость. По словам специалистов компании DefenseCode, она позволяет удаленно выполнить произвольный код и полностью скомпрометировать систему.
Злоумышленники могут получить доступ к базе данных с номерами кредитных карт и другой платежной информацей. Проблема связана с функцией, позволяющей администраторам добавлять превью видеороликов Vimeo в описания продуктов. Если файл не является изображением, система предупредит о неверном формате, но не удалит файл.
Чтобы выполнить произвольный код, злоумышленник должен загрузить конфигурационный файл .htaccess, разрешающий запускать PHP, и сам вредоносный PHP-скрипт. Данная уязвимость не может быть проэксплуатирована напрямую: нужно иметь учетную запись на атакуемом сайте.
Уязвимость затрагивает версии Magento Community Edition 2.1.6 и ниже. Специалисты рассказали о проблеме разработчикам еще в ноябре прошлого года, однако они до сих пор не исправили ошибку. Эксперты считают, что под угрозой может оказаться также коммерческая версию Magento Enterprise, так как в ее основе лежит тот же уязвимый исходный код.
В прошлом году число сайтов, на которых встречается вредоносный JavaScript-код, нацеленный на перехват платежной информации, возросло на 69%. Одним из способов распространения вредоносного ПО является «дыра» в движке электронной коммерции Magento.
Подписаться на новости
Прочитаете,
когда вам будет удобно
Свежий дайджест из мира
eCommerce у вас в почте
