Sa usa ka bukas nga plataporma sa e-commerce , nga mokabat sa merkado sa mga sistema alang sa paghimo sa mga online nga tindahan, mga kahuyangan, ang kombinasyon niini nagtugot sa usa ka pag-atake nga ipatuman ang code niini sa server, makaangkon og bug-os nga kontrol sa online store ug mag-organisar sa redirection sa pagbayad. Mga kahuyangan Magento 2.3.2, 2.2.9, ug 2.1.18 nga gipagawas, nga adunay kinatibuk-an nga 75 nga pag-ayo sa seguridad.
Usa sa mga problema nagtugot sa usa ka dili masaligan nga tiggamit nga makab-ot ang pagbutang sa JavaScript code (XSS), nga mahimoβg ipatuman kung gitan-aw ang kasaysayan sa mga gikansela nga pagpalit sa interface sa admin. Ang esensya sa kahuyang mao ang abilidad sa pag-bypass sa text cleaning operation gamit ang escapeHtmlWithLinks() function sa pagproseso sa usa ka note sa cancel form sa checkout start screen (gamit ang βa href=http://onmouseover=β¦β tag nested sa laing tag). Ang problema nagpakita sa iyang kaugalingon kung gigamit ang built-in nga module nga Authorize.Net, nga gigamit sa pagdawat sa mga pagbayad pinaagi sa mga credit card.
Aron maangkon ang bug-os nga kontrol gamit ang JavaScript code sa konteksto sa kasamtangan nga sesyon sa usa ka empleyado sa tindahan, ang ikaduha nga kahuyang gipahimuslan, nga nagtugot sa pag-load sa usa ka phar file nga nagtakuban isip usa ka larawan ( "Phar deserialization"). Ang Phar file mahimong ma-upload pinaagi sa image insertion form sa built-in WYSIWYG editor. Kay nagmalampuson sa pagpatuman sa ilang PHP code, ang tig-atake mahimong mag-usab sa mga detalye sa pagbayad o makapugong sa impormasyon sa credit card sa mga pumapalit.
Makapainteres, ang kasayuran bahin sa problema sa XSS gipadala sa mga nag-develop sa Magento kaniadtong Septyembre 2018, pagkahuman gibuhian ang usa ka patch sa katapusan sa Nobyembre, nga, ingon nga kini nahimo, nagwagtang lamang sa usa sa mga espesyal nga kaso ug dali nga nalaktawan. Niadtong Enero, ang posibilidad sa pag-download sa usa ka Phar file nga nagtago sa usa ka imahe gidugang nga gitaho ug gipakita kung giunsa ang kombinasyon sa duha nga mga kahuyangan magamit aron makompromiso ang mga online nga tindahan. Sa katapusan sa Marso sa Magento 2.3.1,
Giayo sa 2.2.8 ug 2.1.17 ang problema sa mga file sa Phar apan nakalimot sa pag-ayo sa XSS bisan kung sirado ang tiket sa isyu. Niadtong Abril, gipadayon ang pag-parse sa XSS ug ang isyu naayo sa mga gipagawas nga 2.3.2, 2.2.9, ug 2.1.18.
Kinahanglang hinumdoman nga kini nga mga pagpagawas nag-ayo usab sa 75 nga mga kahuyangan, ang 16 niini gimarkahan nga kritikal, ug ang 20 nga mga problema mahimong mosangpot sa pagpatuman sa PHP code o pagpuli sa SQL. Kadaghanan sa mga kritikal nga isyu mahimo lamang sa usa ka gipamatud-an nga tiggamit, apan sama sa gipakita sa ibabaw, ang mga authenticated nga mga operasyon dili lisud nga makab-ot sa mga kahuyangan sa XSS, diin dose-dosenang ang naayo sa gimarkahan nga mga pagpagawas.
Source: opennet.ru