Баг, найденный в Magneto, ставит множество сайтов под угрозу взлома

Сотни тысяч веб-сайтов, занимающихся реализацией товаров и услуг, подверглись риску атаки. Она может быть осуществлена с помощью недавно обнаруженной уязвимости в платформе Magneto e-commerce.

Ошибка, которая позволяет провести атаку методом хранимого межсайтового скриптинга (stored XSS), присутствует практически во всех версиях Magento до 1.9.2.3 и 1.14.2.3. Как заявили исследователи фирмы Sucuri, которая занимается безопасностью сайтов и обнаружила уязвимость, это даст злоумышленникам возможность внедрить вредоносный javascript код в форму регистрации клиентов. Magneto выполнит этот код от учетной записи администратора, делая возможным получить хакеру полный контроль над сервером.

Ошибка расположена внутри ядра Magneto, а точнее в коде интерфейса администратора. Если вы не пользуетесь WAF или сильно изменили панель администратора, вам грозит опасность. Осуществив XSS атаку, злоумышленник сможет создавать новые учетные записи администратора, получать приватную информацию о клиентах и т.д.

Добавить комментарий

Нам важно знать ваше мнение. Оставьте свой отзыв или ответ

Комментариев 1

  1. dark4dead Офлайн 31 января 2016 23:34
    Самое интересное, что баг присутствует как в Опен соурс, так и в платной версии. Обидно наверно.

Обновления на форуме