Dalam platform terbuka untuk mengatur e-commerce , yang memakan waktu sekitar pasar sistem untuk membuat toko online, kerentanan, kombinasi yang memungkinkan Anda melakukan serangan untuk mengeksekusi kode Anda di server, mendapatkan kendali penuh atas toko online dan mengatur pengalihan pembayaran. Kerentanan di Magento rilis 2.3.2, 2.2.9 dan 2.1.18, yang bersama-sama memperbaiki 75 masalah keamanan.
Salah satu masalah memungkinkan pengguna yang tidak diautentikasi untuk mencapai penempatan JavaScript (XSS) yang dapat dijalankan saat melihat riwayat pembelian yang dibatalkan di antarmuka admin. Inti dari kerentanan adalah kemampuan untuk melewati operasi pembersihan teks menggunakan fungsi escapeHtmlWithLinks() saat memproses catatan dalam formulir pembatalan di layar checkout (menggunakan tag βa href=http://onmouseover=..." bersarang di tag lain). Masalahnya muncul ketika menggunakan modul Authorize.Net bawaan, yang digunakan untuk menerima pembayaran kartu kredit.
Untuk mendapatkan kontrol penuh menggunakan kode JavaScript dalam konteks sesi karyawan toko saat ini, kerentanan kedua dieksploitasi, yang memungkinkan Anda memuat file phar dengan kedok gambar ( "Deserialisasi Phar"). File Phar dapat diunggah melalui formulir penyisipan gambar di editor WYSIWYG bawaan. Setelah mencapai eksekusi kode PHP-nya, penyerang kemudian dapat mengubah rincian pembayaran atau mencegat informasi kartu kredit pelanggan.
Menariknya, informasi tentang masalah XSS dikirim ke pengembang Magento pada bulan September 2018, setelah itu patch dirilis pada akhir November, yang ternyata hanya menghilangkan satu kasus khusus dan mudah dilewati. Pada bulan Januari, dilaporkan juga tentang kemungkinan mengunduh file Phar dengan kedok gambar dan menunjukkan bagaimana kombinasi dua kerentanan dapat digunakan untuk menyusupi toko online. Pada akhir Maret di Magento 2.3.1,
2.2.8 dan 2.1.17 memperbaiki masalah dengan file Phar, tetapi lupa memperbaiki XSS, meskipun tiket masalah telah ditutup. Pada bulan April, penguraian XSS dilanjutkan dan masalah telah diperbaiki di rilis 2.3.2, 2.2.9, dan 2.1.18.
Perlu dicatat bahwa rilis ini juga memperbaiki 75 kerentanan, 16 di antaranya dianggap kritis, dan 20 masalah dapat menyebabkan eksekusi kode PHP atau substitusi SQL. Sebagian besar masalah kritis hanya dapat dilakukan oleh pengguna yang diautentikasi, namun seperti yang ditunjukkan di atas, operasi yang diautentikasi dapat dengan mudah dicapai menggunakan kerentanan XSS, yang beberapa lusin di antaranya telah ditambal dalam rilis yang disebutkan.
Sumber: opennet.ru