In 'n oop e-handelsplatform , wat ongeveer neem mark van stelsels vir die skep van aanlynwinkels, kwesbaarhede, waarvan die kombinasie 'n aanval toelaat om sy kode op die bediener uit te voer, volle beheer oor die aanlynwinkel te verkry en betalingsherleiding te organiseer. Kwesbaarhede Magento 2.3.2, 2.2.9 en 2.1.18 vrystellings, met 'n totaal van 75 sekuriteitsoplossings.
Een van die probleme laat 'n ongeverifieerde gebruiker toe om die plasing van JavaScript-kode (XSS) te bereik, wat uitgevoer kan word wanneer die geskiedenis van gekanselleerde aankope in die administrasie-koppelvlak bekyk word. Die essensie van die kwesbaarheid is die vermoë om die teksskoonmaakbewerking te omseil deur die escapeHtmlWithLinks()-funksie te gebruik wanneer 'n nota in die kanselleervorm op die betaalpunt-beginskerm verwerk word (met die "a href=http://onmouseover=..."-tag geneste in 'n ander merker). Die probleem manifesteer hom wanneer die ingeboude module Authorize.Net gebruik word, wat gebruik word om betalings met kredietkaarte te aanvaar.
Om volle beheer te verkry met behulp van JavaScript-kode in die konteks van die huidige sessie van 'n winkelwerknemer, word 'n tweede kwesbaarheid uitgebuit, wat dit moontlik maak om 'n phar-lêer te laai wat as 'n beeld vermom is ( "Far-deserialisering"). Die Phar-lêer kan opgelaai word via die beeldinvoegingsvorm in die ingeboude WYSIWYG-redigeerder. Nadat hy daarin geslaag het om hul PHP-kode uit te voer, kan die aanvaller dan betalingsbesonderhede verander of reël vir die onderskepping van inligting oor kliënte se kredietkaarte.
Interessant genoeg is inligting oor die XSS-probleem in September 2018 aan Magento-ontwikkelaars gestuur, waarna 'n pleister aan die einde van November vrygestel is, wat, soos dit geblyk het, slegs een van die spesiale gevalle uitskakel en maklik omseil word. In Januarie is die moontlikheid om 'n Phar-lêer onder die dekmantel van 'n beeld af te laai bykomend aangemeld en daar is gewys hoe die kombinasie van die twee kwesbaarhede gebruik kan word om aanlynwinkels in gevaar te stel. Aan die einde van Maart in Magento 2.3.1,
2.2.8 en 2.1.17 het die probleem met Phar-lêers opgelos, maar die XSS-oplossing vergeet alhoewel die uitreikingskaartjie gesluit is. In April het XSS-parsering hervat en die probleem is reggestel in vrystellings 2.3.2, 2.2.9 en 2.1.18.
Daar moet kennis geneem word dat hierdie vrystellings ook 75 kwesbaarhede reggestel het, waarvan 16 as krities gemerk is, en 20 probleme kan lei tot PHP-kode uitvoering of SQL-vervanging. Die meeste kritieke probleme kan slegs deur 'n geverifieerde gebruiker uitgevoer word, maar soos hierbo getoon, is geverifieerde bewerkings nie moeilik om te bereik met XSS-kwesbaarhede nie, waarvan dosyne in die gemerkte vrystellings reggestel is.
Bron: opennet.ru