Yn in iepen platfoarm foar it organisearjen fan e-commerce
Ien probleem lit in net-authentisearre brûker JavaScript (XSS) pleatsing berikke dy't kin wurde útfierd by it besjen fan de annulearre oankeapskiednis yn 'e admin-ynterface. De essinsje fan 'e kwetsberens is de mooglikheid om de tekstreinigingsoperaasje te omgean mei de funksje escapeHtmlWithLinks() by it ferwurkjen fan in notysje yn it annuleringsformulier op it kassaskerm (mei de tag "a href=http://onmouseover=..." yn in oare tag genest). It probleem manifestearret him by it brûken fan de ynboude Authorize.Net module, dat wurdt brûkt om te akseptearjen credit card betellingen.
Om folsleine kontrôle te krijen mei JavaScript-koade yn 'e kontekst fan' e hjoeddeistige sesje fan in winkelmeiwurker, wurdt in twadde kwetsberens eksploitearre, wêrtroch jo in phar-bestân kinne laden ûnder it mom fan in ôfbylding (
Nijsgjirrich is dat ynformaasje oer it XSS-probleem yn septimber 2018 weromstjoerd waard nei de Magento-ûntwikkelders, wêrnei't ein novimber in patch waard frijlitten, dy't, sa die bliken, mar ien fan 'e spesjale gefallen elimineert en maklik wurdt omseame. Yn jannewaris waard ek rapportearre oer de mooglikheid om in Phar-bestân te downloaden ûnder it mom fan in ôfbylding en liet sjen hoe't in kombinaasje fan twa kwetsberens koe wurde brûkt om online winkels te kompromittearjen. Ein maart yn Magento 2.3.1,
2.2.8 en 2.1.17 fêst it probleem mei Phar triemmen, mar fergeat de XSS fix, hoewol't de útjefte ticket waard sletten. Yn april gie XSS-parsearjen opnij en it probleem waard reparearre yn releases 2.3.2, 2.2.9, en 2.1.18.
It moat opmurken wurde dat dizze releases ek 75 kwetsberens reparearje, wêrfan 16 wurde beoardiele as kritysk, en 20 problemen kinne liede ta útfiering fan PHP-koade of SQL-ferfanging. De measte krityske problemen kinne allinich wurde begien troch in authentisearre brûker, mar lykas hjirboppe toand, kinne authentisearre operaasjes maklik wurde berikt mei XSS-kwetsberheden, wêrfan ferskate tsientallen binne patched yn 'e notearre releases.
Boarne: opennet.ru