Уязвимость в Magento позволяет раскрыть учетные данные пользователей

Как сообщают исследователи безопасности из компании Securatary, им удалось обнаружить опасную уязвимость в выкупленной eBay программной платформе Magento (используется в сфере электронной коммерции). Эксплуатация бреши позволяла раскрыть учетные данные произвольных пользователей, а также получить административный доступ к приложению. В настоящий момент уязвимость уже устранена.

Стоит отметить, что, по данным самих разработчиков Magento, аудитория платформы составляет порядка 200 тысяч различных интернет-магазинов и аналогичных им сервисов. Таким образом, количество потенциальных жертв эксплуатации уязвимости достигает довольно внушительных значений.

Кроме того, серьезные убытки могли понести и сами торговые площадки, поскольку брешь позволяла атакующим предоставлять самим себе кредиты на произвольные товары, создавать подарочные сертификаты на произвольные суммы и т.п. При этом, вредоносная активность может вовсе не вызывать подозрений у администрации – все запросы будут регистрироваться, как предпринятые владельцем сервиса.

Ознакомиться с отчетом Securatary можно здесь .