Интернет-магазины на платформе Magento под угрозой
Разработчикам платформы для электронной коммерции Magento удалось исправить две уязвимости в программе. Однако миллионы интернет-магазинов все еще потенциально могут стать жертвами кибератаки, если в ближайшее время не обновят платформу до последней версии. Хакеры могут получить контроль над сайтом, создать новые административные модули и украсть информацию о покупателях.
Ошибка XSS была найдена во всех платформах Magento Community Edition и Enterprise Edition до версии 1.9.2.3 и 1.14.2.3, соответственно. Эксперты Sucuri, обнаружившие ошибку, заявили, что хакеры могут использовать эту уязвимость, чтобы внедрить вредоносный код в регистрационные формы клиентов. Ошибка позволяет осуществить XSS-атаку путем добавления JavaScript-кода к адресу электронной почты, введенному на странице регистрации пользователя. Уязвимость существует из-за ошибки в одной из ключевых библиотек Magento, и может быть проявлена, когда администратор интернет-магазина просматривает размещенные пользователями заказы.
«Уязвимость находится в корневой библиотеке Magento, более конкретно в интерфейсе администратора», — объяснил консультант Sucuri.
Вторая ошибка существует из-за недостаточной фильтрации комментариев к заказу. Удаленный пользователь может вставить в поле комментария специально сформированный JavaScript-сценарий. Код будет выполнен в административной панели при попытке просмотра заказа. Уязвимость затрагивает все версии Magento CE и EE до 2.0.1.
