У адкрытай платформе для арганізацыі электроннай камерцыі , якая займае каля рынку сістэм для стварэння інтэрнэт-крам, уразлівасці, камбінацыя якіх дазваляе здзейсніць напад для выканання свайго кода на серверы, атрыманні поўнага кантролю над інтэрнэт-крамай і арганізацыі перанакіравання плацяжоў. Уразлівасці у выпусках Magento 2.3.2, 2.2.9 і 2.1.18, у якіх у суме ўхілена 75 праблем, злучаных з бяспекай.
Адна з праблем дазваляе неаўтэнтыфікаванаму карыстачу дамагчыся размяшчэнні JavaScript-кода (XSS), які можа быць выкананы пры праглядзе часопіса адмененых пакупак у інтэрфейсе адміністратара. Сутнасць уразлівасці ў магчымасці абыйсці аперацыю чысткі тэксту пры дапамозе функцыі escapeHtmlWithLinks() пры апрацоўцы нататкі ў форме адмены на экране пачатку афармлення пакупкі (выкарыстанне ўкладзенага ў іншы тэг тэга «a href=http://onmouseover=…»). Праблема выяўляецца пры выкарыстанні ўбудаванага модуля Authorize.Net, пры дапамозе якога ажыццяўляецца прыём плацяжоў па крэдытных картах.
Для атрымання поўнага кантролю пры дапамозе JavaScript-кода ў кантэксце бягучага сеансу супрацоўніка крамы эксплуатуецца другая ўразлівасць, якая дазваляе загрузіць phar-файл пад выглядам карцінкі. "Phar deserialization"). Phar-файл можа быць загружаны праз форму ўстаўкі малюнкаў ва ўбудаваным WYSIWYG-рэдактары. Дамогшыся выкананні свайго PHP-кода, атакавалы затым можа змяніць рэквізіты плацяжоў ці арганізаваць перахоп інфармацыі аб крэдытных картах пакупнікоў.
Цікава, што звесткі аб XSS-праблеме былі накіраваныя распрацоўнікам Magento яшчэ ў верасні 2018 года, пасля чаго ў канцы лістапада быў выпушчаны патч, які, як аказалася, ухіляе толькі адзін з прыватных выпадкаў і лёгка абыходзіцца. У студзені дадаткова было паведамлена аб магчымасці загрузкі Phar-файла пад выглядам выявы і паказана, як спалучэнне двух уразлівасцяў можа выкарыстоўвацца для кампраметацыі інтэрнэт-крам. У канцы сакавіка ў Magento 2.3.1,
2.2.8 і 2.1.17 была ўхіленая праблема з Phar-файламі, але забыта выпраўленне XSS, хоць тыкет аб праблеме быў зачынены. У красавіку разбор XSS аднавіўся і праблема была ўхіленая ў выпусках 2.3.2, 2.2.9 і 2.1.18.
Варта адзначыць, што ў паказаных выпусках таксама ўхілена 75 уразлівасцяў, для 16 з якіх узровень небяспекі адзначаны як крытычны, а 20 праблем могуць прывесці да выканання PHP-кода ці падстаноўцы SQL-аперацый. Большасць крытычных праблем могуць быць здзейснены толькі аўтэнтыфікаваным карыстачом, але як паказана вышэй, выкананні аўтэнтыфікаваных аперацый няцяжка дамагчыся пры дапамозе XSS-уразлівасцяў, якіх у адзначаных выпусках ухілена некалькі дзясяткаў.
Крыніца: opennet.ru