Nyílt platformon az e-kereskedelem szervezésére , ami kb online áruházak létrehozására szolgáló rendszerek piaca, sérülékenységek, amelyek kombinációja lehetővé teszi, hogy támadást hajtson végre a kód futtatása érdekében a szerveren, teljes ellenőrzést szerezzen az online áruház felett, és megszervezze a fizetések átirányítását. Sebezhetőségek a Magento 2.3.2, 2.2.9 és 2.1.18 kiadásaiban, amelyek együttesen 75 biztonsági problémát javítottak.
Az egyik probléma lehetővé teszi a nem hitelesített felhasználók számára, hogy JavaScript (XSS) elhelyezést érjenek el, amely végrehajtható a törölt vásárlási előzmények megtekintésekor az adminisztrációs felületen. A sérülékenység lényege, hogy az escapeHtmlWithLinks() függvény segítségével megkerülhető a szövegtisztítási művelet, amikor a fizetési képernyőn a törlési űrlapon lévő megjegyzést dolgozzák fel (az „a href=http://onmouseover=...” címke használatával egy másik címkébe ágyazva). A probléma a beépített Authorize.Net modul használatakor jelentkezik, amely bankkártyás fizetések fogadására szolgál.
Ahhoz, hogy JavaScript-kóddal teljes irányítást szerezzen egy bolti alkalmazott aktuális munkamenetének kontextusában, egy második sebezhetőséget használnak ki, amely lehetővé teszi egy phar fájl betöltését egy kép leple alatt ( "Phar deserializáció"). A Phar fájl a beépített WYSIWYG szerkesztő képbeillesztési űrlapján keresztül tölthető fel. A PHP kód végrehajtását követően a támadó módosíthatja a fizetési adatokat, vagy elfoghatja az ügyfél hitelkártyaadatait.
Érdekesség, hogy az XSS-problémával kapcsolatos információkat még 2018 szeptemberében eljuttatták a Magento fejlesztőihez, ezt követően november végén megjelent egy patch, ami, mint kiderült, a speciális esetek közül csak egyet küszöböl ki, és könnyen megkerülhető. Januárban emellett beszámoltak egy Phar-fájl kép leple alatti letöltésének lehetőségéről, és bemutatták, hogyan lehet két sebezhetőség kombinációját felhasználni az online áruházak feltörésére. Március végén a Magento 2.3.1-ben,
A 2.2.8 és 2.1.17 javította a problémát a Phar fájlokkal, de elfelejtette az XSS javítást, bár a hibajegyet lezárták. Áprilisban az XSS-elemzés folytatódott, és a 2.3.2-es, 2.2.9-es és 2.1.18-as kiadásokban kijavították a problémát.
Megjegyzendő, hogy ezek a kiadások 75 sebezhetőséget is javítanak, amelyek közül 16 kritikusnak minősül, 20 probléma pedig PHP-kód futtatásához vagy SQL-helyettesítéshez vezethet. A legtöbb kritikus problémát csak hitelesített felhasználó tudja elkövetni, de amint fentebb látható, a hitelesített műveletek könnyen megvalósíthatók XSS sebezhetőségek használatával, amelyek közül több tucat javításra került a megjelölt kiadásokban.
Forrás: opennet.ru