Уязвимость в Magento ставит под угрозу 300 тыс. сайтов

image

Теги: Magento, уязвимость

Владельцам интернет-магазинов под управлением Magento рекомендуется как можно скорее установить обновление.

В системе управления интернет-магазинами Magento обнаружена уязвимость, ставящая под угрозу порядка 300 тыс. сайтов.

Уязвимость PRODSECBUG-2198 позволяет осуществлять SQL-инъекции без какой-либо авторизации. С ее помощью злоумышленник может удаленно получить контроль над учетной записью администратора, загрузить имена и хешированные пароли пользователей и взломать хеши. Далее атакующий может установить бэкдор или вредоносный код для похищения данных банковских карт.

Команда Magento выпустила исправление для уязвимости, однако исследователям компании Sucuri удалось успешно осуществить реверс-инжиниринг патча и разработать PoC-эксплоит. По их словам, проэксплуатировать уязвимость очень легко, поэтому владельцам интернет-магазинов под управлением Magento рекомендуется как можно скорее установить обновление.

Проблема затрагивает как коммерческую версию платформы, так и версию с открытым исходным кодом и уже исправлена в выпусках Magento 2.1.17 / 2.2.8 / 2.3.1.

Учитывая опасность уязвимости и отсутствие реальных атак, исследователи пока воздерживаются от публикации технических подробностей.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.