Ma kahi kahua ākea no ka hoʻonohonoho ʻana i ka e-commerce , e pili ana mākeke o nā ʻōnaehana no ka hana ʻana i nā hale kūʻai pūnaewele, nā vulnerabilities, ka hui pū ʻana o ia mea e hiki ai iā ʻoe ke hoʻokō i kahi hoʻouka kaua e hoʻokō i kāu code ma ke kikowaena, loaʻa ka mana piha ma luna o ka hale kūʻai pūnaewele a hoʻonohonoho i ka redirection o nā uku. Nā nāwaliwali i Magento hoʻokuʻu 2.3.2, 2.2.9 a me 2.1.18, i hui pū i 75 pilikia palekana.
Hoʻokahi pilikia e hiki ai i kahi mea hoʻohana pono ʻole ke hoʻokō i kahi hoʻokomo JavaScript (XSS) hiki ke hoʻokō ʻia i ka wā e nānā ana i ka mōʻaukala kūʻai i kāpae ʻia ma ka interface admin. ʻO ke kumu o ka nāwaliwali ʻo ka hiki ke kāpae i ka hana hoʻomaʻemaʻe kikokikona me ka hoʻohana ʻana i ka hana escapeHtmlWithLinks () i ka wā e hoʻoponopono ai i kahi memo ma ka palapala hoʻopau ʻana ma ka ʻaoʻao nānā (e hoʻohana ana i ka "a href=http://onmouseover=..." tag. hoʻopaʻa ʻia ma kahi hōʻailona ʻē aʻe). Hōʻike ka pilikia iā ia iho i ka hoʻohana ʻana i ka module Authorize.Net i kūkulu ʻia, i hoʻohana ʻia e ʻae i nā uku kāleka hōʻaiʻē.
No ka loaʻa ʻana o ka mana piha me ka hoʻohana ʻana i ka code JavaScript i loko o ka pōʻaiapili o ke kau o kēia manawa o kahi limahana hale kūʻai, hoʻohana ʻia ka lua o ka nāwaliwali, e hiki ai iā ʻoe ke hoʻouka i kahi faila phar ma lalo o ke ʻano o kahi kiʻi ( "Phar deserialization"). Hiki ke hoʻouka ʻia ka faila Phar ma o ka palapala hoʻokomo kiʻi ma ka mea hoʻoponopono WYSIWYG i kūkulu ʻia. Ma hope o ka hoʻokō ʻana i kāna code PHP, hiki i ka mea hoʻouka ke hoʻololi i nā kikoʻī uku a i ʻole ke kāpae ʻana i ka ʻike kāleka hōʻaiʻē.
ʻO ka mea mahalo, ua hoʻouna ʻia ka ʻike e pili ana i ka pilikia XSS i nā mea hoʻomohala Magento i ka mahina ʻo Kepakemapa 2018, a ma hope o ka hoʻokuʻu ʻia ʻana o kahi patch i ka hopena o Nowemapa, ʻo ia hoʻi, e hoʻopau i hoʻokahi wale nō o nā hihia kūikawā a maʻalahi hoʻi e hoʻopuni. I Ianuali, ua hōʻike hou ʻia e pili ana i ka hiki ke hoʻoiho i kahi faila Phar ma lalo o ke ʻano o kahi kiʻi a hōʻike i ke ʻano o ka hui ʻana o ʻelua mau nāwaliwali e hiki ke hoʻohana i nā hale kūʻai pūnaewele. I ka hopena o Malaki ma Magento 2.3.1,
Ua hoʻoponopono ʻo 2.2.8 a me 2.1.17 i ka pilikia me nā faila Phar, akā poina i ka hoʻoponopono XSS, ʻoiai ua pani ʻia ka tiketi hoʻopuka. I ʻApelila, hoʻomaka hou ka hoʻopaʻa ʻana o XSS a ua hoʻopaʻa ʻia ka pilikia ma nā hoʻokuʻu 2.3.2, 2.2.9, a me 2.1.18.
Pono e hoʻomaopopo ʻia ua hoʻoponopono kēia mau hoʻokuʻu ʻana i nā vulnerabilities 75, 16 o ia mau mea i helu ʻia he koʻikoʻi, a hiki i nā pilikia 20 ke alakaʻi i ka hoʻokō PHP code a i ʻole SQL substitution. ʻO ka hapa nui o nā pilikia koʻikoʻi hiki ke hana wale ʻia e ka mea hoʻohana i hōʻoia ʻia, akā e like me ka mea i hōʻike ʻia ma luna nei, hiki ke hoʻokō maʻalahi i nā hana i hōʻoia ʻia me ka hoʻohana ʻana i nā nāwaliwali XSS, kahi i hoʻopaʻa ʻia i loko o nā mea i hoʻokuʻu ʻia.
Source: opennet.ru