В Magento eCommerce устранена критическая уязвимость

image

Теги: уязвимость, eBay

Разработанная интернет-аукционом eBay платформа содержала брешь, позволяющую удаленное выполнение кода.

Как сообщают разработчики Magento eCommerce (принадлежит eBay), в платформе была устранена критическая  уязвимость , позволяющая потенциальным злоумышленникам выполнить произвольный код на использующем платформу сервере. Информация о бреши была раскрыта в понедельник, 20 апреля. По предварительным оценкам, она затрагивает не менее 200 тысяч интернет-магазинов, подвергая при этом риску компрометации личные данные всех пользователей этих ресурсов.

Эксплуатация бреши, по словам экспертов, позволяет атакующим получить доступ к номеру кредитной карты, а также к другой «финансовой и просто конфиденциальной информации».

Стоит также отметить, что для успешной атаки необходимо проэксплуатировать несколько уязвимостей. Так, по словам исследователя Нетанеля Рубина (Netanel Rubin) из Check Point Software Technologies, одна из необходимых для этого брешей была устранена еще в феврале этого года.

Комбинированное применение эксплоитов для нескольких ошибок, по данным исследователя, позволяет злоумышленникам выполнить произвольный PHP-код на web-сервере, обойти механизмы безопасности и получить полный административный контроль над системой. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.