Dans une plateforme ouverte d'organisation du e-commerce , ce qui prend environ marché des systèmes de création de boutiques en ligne, vulnérabilités dont la combinaison vous permet de mener une attaque pour exécuter votre code sur le serveur, de prendre le contrôle total de la boutique en ligne et d'organiser la redirection des paiements. Vulnérabilités dans les versions 2.3.2, 2.2.9 et 2.1.18 de Magento, qui ont résolu ensemble 75 problèmes de sécurité.
Un problème permet à un utilisateur non authentifié d'obtenir un placement JavaScript (XSS) qui peut être exécuté lors de l'affichage de l'historique des achats annulés dans l'interface d'administration. L'essence de la vulnérabilité réside dans la possibilité de contourner l'opération de nettoyage de texte à l'aide de la fonction escapeHtmlWithLinks() lors du traitement d'une note dans le formulaire d'annulation sur l'écran de paiement (en utilisant la balise « a href=http://onmouseover=..." imbriqué dans une autre balise). Le problème se manifeste lors de l'utilisation du module Authorize.Net intégré, utilisé pour accepter les paiements par carte de crédit.
Pour obtenir un contrôle total à l'aide du code JavaScript dans le cadre de la session en cours d'un employé du magasin, une deuxième vulnérabilité est exploitée, qui permet de charger un fichier phar sous couvert d'image ( "Désérialisation Phar"). Le fichier Phar peut être téléchargé via le formulaire d'insertion d'image dans l'éditeur WYSIWYG intégré. Après avoir exécuté son code PHP, l'attaquant peut alors modifier les informations de paiement ou intercepter les informations de carte de crédit du client.
Fait intéressant, des informations sur le problème XSS ont été envoyées aux développeurs de Magento en septembre 2018, après quoi un correctif a été publié fin novembre, qui, en fin de compte, n'élimine qu'un des cas particuliers et est facilement contourné. En janvier, il a également été signalé la possibilité de télécharger un fichier Phar sous couvert d'une image et montré comment une combinaison de deux vulnérabilités pouvait être utilisée pour compromettre les magasins en ligne. Fin mars dans Magento 2.3.1,
Les versions 2.2.8 et 2.1.17 ont résolu le problème avec les fichiers Phar, mais ont oublié le correctif XSS, bien que le ticket de problème ait été fermé. En avril, l'analyse XSS a repris et le problème a été résolu dans les versions 2.3.2, 2.2.9 et 2.1.18.
Il convient de noter que ces versions corrigent également 75 vulnérabilités, dont 16 sont considérées comme critiques, et 20 problèmes peuvent conduire à l'exécution de code PHP ou à une substitution SQL. La plupart des problèmes critiques ne peuvent être commis que par un utilisateur authentifié, mais comme indiqué ci-dessus, les opérations authentifiées peuvent facilement être réalisées à l'aide de vulnérabilités XSS, dont plusieurs dizaines ont été corrigées dans les versions mentionnées.
Source: opennet.ru