Yn in iepen platfoarm foar it organisearjen fan e-commerce , dat duorret oer merk fan systemen foar it meitsjen fan online winkels, kwetsberens, wêrfan de kombinaasje jo in oanfal kinne útfiere om jo koade op 'e tsjinner út te fieren, folsleine kontrôle oer de online winkel te krijen en de omlieding fan betellingen te organisearjen. Kwetsberheden yn Magento releases 2.3.2, 2.2.9 en 2.1.18, dy't tegearre 75 feiligensproblemen repareare.
Ien probleem lit in net-authentisearre brûker JavaScript (XSS) pleatsing berikke dy't kin wurde útfierd by it besjen fan de annulearre oankeapskiednis yn 'e admin-ynterface. De essinsje fan 'e kwetsberens is de mooglikheid om de tekstreinigingsoperaasje te omgean mei de funksje escapeHtmlWithLinks() by it ferwurkjen fan in notysje yn it annuleringsformulier op it kassaskerm (mei de tag "a href=http://onmouseover=..." yn in oare tag genest). It probleem manifestearret him by it brûken fan de ynboude Authorize.Net module, dat wurdt brûkt om te akseptearjen credit card betellingen.
Om folsleine kontrôle te krijen mei JavaScript-koade yn 'e kontekst fan' e hjoeddeistige sesje fan in winkelmeiwurker, wurdt in twadde kwetsberens eksploitearre, wêrtroch jo in phar-bestân kinne laden ûnder it mom fan in ôfbylding ( "Far deserialisaasje"). It Phar-bestân kin wurde opladen fia it formulier foar ynfoegje fan ôfbyldings yn 'e ynboude WYSIWYG-bewurker. Nei't de útfiering fan syn PHP-koade berikt is, kin de oanfaller dan betellingsdetails wizigje of klantkredytkaartynformaasje ûnderskeppe.
Nijsgjirrich is dat ynformaasje oer it XSS-probleem yn septimber 2018 weromstjoerd waard nei de Magento-ûntwikkelders, wêrnei't ein novimber in patch waard frijlitten, dy't, sa die bliken, mar ien fan 'e spesjale gefallen elimineert en maklik wurdt omseame. Yn jannewaris waard ek rapportearre oer de mooglikheid om in Phar-bestân te downloaden ûnder it mom fan in ôfbylding en liet sjen hoe't in kombinaasje fan twa kwetsberens koe wurde brûkt om online winkels te kompromittearjen. Ein maart yn Magento 2.3.1,
2.2.8 en 2.1.17 fêst it probleem mei Phar triemmen, mar fergeat de XSS fix, hoewol't de útjefte ticket waard sletten. Yn april gie XSS-parsearjen opnij en it probleem waard reparearre yn releases 2.3.2, 2.2.9, en 2.1.18.
It moat opmurken wurde dat dizze releases ek 75 kwetsberens reparearje, wêrfan 16 wurde beoardiele as kritysk, en 20 problemen kinne liede ta útfiering fan PHP-koade of SQL-ferfanging. De measte krityske problemen kinne allinich wurde begien troch in authentisearre brûker, mar lykas hjirboppe toand, kinne authentisearre operaasjes maklik wurde berikt mei XSS-kwetsberheden, wêrfan ferskate tsientallen binne patched yn 'e notearre releases.
Boarne: opennet.ru