In 'n oop e-handelsplatform
Een van die probleme laat 'n ongeverifieerde gebruiker toe om die plasing van JavaScript-kode (XSS) te bereik, wat uitgevoer kan word wanneer die geskiedenis van gekanselleerde aankope in die administrasie-koppelvlak bekyk word. Die essensie van die kwesbaarheid is die vermoë om die teksskoonmaakbewerking te omseil deur die escapeHtmlWithLinks()-funksie te gebruik wanneer 'n nota in die kanselleervorm op die betaalpunt-beginskerm verwerk word (met die "a href=http://onmouseover=..."-tag geneste in 'n ander merker). Die probleem manifesteer hom wanneer die ingeboude module Authorize.Net gebruik word, wat gebruik word om betalings met kredietkaarte te aanvaar.
Om volle beheer te verkry met behulp van JavaScript-kode in die konteks van die huidige sessie van 'n winkelwerknemer, word 'n tweede kwesbaarheid uitgebuit, wat dit moontlik maak om 'n phar-lêer te laai wat as 'n beeld vermom is (
Interessant genoeg is inligting oor die XSS-probleem in September 2018 aan Magento-ontwikkelaars gestuur, waarna 'n pleister aan die einde van November vrygestel is, wat, soos dit geblyk het, slegs een van die spesiale gevalle uitskakel en maklik omseil word. In Januarie is die moontlikheid om 'n Phar-lêer onder die dekmantel van 'n beeld af te laai bykomend aangemeld en daar is gewys hoe die kombinasie van die twee kwesbaarhede gebruik kan word om aanlynwinkels in gevaar te stel. Aan die einde van Maart in Magento 2.3.1,
2.2.8 en 2.1.17 het die probleem met Phar-lêers opgelos, maar die XSS-oplossing vergeet alhoewel die uitreikingskaartjie gesluit is. In April het XSS-parsering hervat en die probleem is reggestel in vrystellings 2.3.2, 2.2.9 en 2.1.18.
Daar moet kennis geneem word dat hierdie vrystellings ook 75 kwesbaarhede reggestel het, waarvan 16 as krities gemerk is, en 20 probleme kan lei tot PHP-kode uitvoering of SQL-vervanging. Die meeste kritieke probleme kan slegs deur 'n geverifieerde gebruiker uitgevoer word, maar soos hierbo getoon, is geverifieerde bewerkings nie moeilik om te bereik met XSS-kwesbaarhede nie, waarvan dosyne in die gemerkte vrystellings reggestel is.
Bron: opennet.ru