En malferma platformo por organizado de elektronika komerco , kiu daŭras ĉirkaŭ merkato de sistemoj por krei interretajn butikojn, vundeblecoj, kies kombinaĵo ebligas al vi fari atakon por ekzekuti vian kodon sur la servilo, akiri plenan kontrolon de la reta vendejo kaj organizi la alidirekton de pagoj. Vundeblecoj en Magento eldonas 2.3.2, 2.2.9 kaj 2.1.18, kiuj kune riparis 75 sekurecproblemojn.
Unu afero permesas al neaŭtentikigita uzanto atingi JavaScript (XSS) lokigon kiu povas esti efektivigita dum rigardado de la nuligita aĉethistorio en la administra interfaco. La esenco de la vundebleco estas la kapablo preteriri la tekstopurigan operacion uzante la funkcion escapeHtmlWithLinks() kiam oni prilaboras noton en la nuliga formo sur la kasa ekrano (uzante la etikedon "a href=http://onmouseover=..." nestis en alia etikedo). La problemo manifestiĝas kiam oni uzas la enkonstruitan modulon Authorize.Net, kiu estas uzata por akcepti kreditkartajn pagojn.
Por akiri plenan kontrolon uzante JavaScript-kodon en la kunteksto de la nuna kunsido de vendeja dungito, dua vundebleco estas ekspluatata, kiu ebligas al vi ŝargi phar-dosieron sub la aspekto de bildo ( "Phar-deseriigo"). La Phar-dosiero povas esti alŝutita per la bilda enmeta formularo en la enkonstruita WYSIWYG-redaktilo. Atinginte ekzekuton de sia PHP-kodo, la atakanto povas tiam ŝanĝi pagdetalojn aŭ kapti informojn pri kreditkarto de klientoj.
Kurioze, informoj pri la XSS-problemo estis senditaj al la Magento-programistoj reen en septembro 2018, post kio diakilo estis liberigita fine de novembro, kiu, kiel evidentiĝis, forigas nur unu el la specialaj kazoj kaj estas facile evitita. En januaro, oni aldone raportis pri la ebleco elŝuti Phar-dosieron sub la aspekto de bildo kaj montris kiel kombinaĵo de du vundeblecoj povus esti uzata por kompromiti interretajn butikojn. Fine de marto en Magento 2.3.1,
2.2.8 kaj 2.1.17 riparis la problemon kun Phar-dosieroj, sed forgesis la XSS-riparon, kvankam la eldona bileto estis fermita. En aprilo, XSS-analizo rekomencis kaj la problemo estis riparita en eldonoj 2.3.2, 2.2.9 kaj 2.1.18.
Oni devas rimarki, ke ĉi tiuj eldonoj ankaŭ riparas 75 vundeblecojn, 16 el kiuj estas taksitaj kiel kritikaj, kaj 20 problemoj povas konduki al PHP-koda ekzekuto aŭ SQL-anstataŭigo. Plej kritikaj problemoj povas esti faritaj nur de aŭtentikigita uzanto, sed kiel montrite supre, aŭtentikigitaj operacioj povas facile esti atingitaj uzante XSS-vundeblecojn, el kiuj pluraj dekoj estis flikitaj en la notitaj eldonoj.
fonto: opennet.ru