75 פרצות שתוקנו בפלטפורמת המסחר האלקטרוני של Magento

בפלטפורמה פתוחה לארגון מסחר אלקטרוני מג'נטו, אשר לוקח בערך 20% שוק מערכות ליצירת חנויות מקוונות, מזוהה נקודות תורפה, שהשילוב שלהן מאפשר לך לבצע התקפה כדי לבצע את הקוד שלך בשרת, להשיג שליטה מלאה על החנות המקוונת ולארגן את הפניית התשלומים. פגיעויות חוסלו במג'נטו משחרר 2.3.2, 2.2.9 ו-2.1.18, אשר יחד תיקנו 75 בעיות אבטחה.

בעיה אחת מאפשרת למשתמש לא מאומת להשיג מיקום JavaScript (XSS) שניתן לבצע בעת הצגת היסטוריית הרכישות שבוטלה בממשק הניהול. מהות הפגיעות היא היכולת לעקוף את פעולת ניקוי הטקסט באמצעות הפונקציה escapeHtmlWithLinks() בעת עיבוד הערה בטופס הביטול במסך התשלום (באמצעות תג "a href=http://onmouseover=..." מקונן בתג אחר). הבעיה מתבטאת בשימוש במודול Authorize.Net המובנה, המשמש לקבלת תשלומים בכרטיס אשראי.

כדי להשיג שליטה מלאה באמצעות קוד JavaScript בהקשר של הפגישה הנוכחית של עובד חנות, מנוצלת פגיעות שנייה, המאפשרת לטעון קובץ PHAR במסווה של תמונה (הַחזָקָה התקפות "דה-סריאליזציה של פאר"). ניתן להעלות את קובץ ה-Phar דרך טופס הכנסת התמונה בעורך WYSIWYG המובנה. לאחר שהשיג ביצוע של קוד ה-PHP שלו, התוקף יכול לשנות את פרטי התשלום או ליירט את פרטי כרטיס האשראי של הלקוח.

מעניין לציין שמידע על בעיית ה-XSS נשלח למפתחי Magento עוד בספטמבר 2018, ולאחר מכן שוחרר תיקון בסוף נובמבר, אשר, כפי שהתברר, מבטל רק אחד מהמקרים המיוחדים והוא עוקף בקלות. בינואר דווח בנוסף שניתן להוריד קובץ Phar במסווה של תמונה והראה כיצד ניתן להשתמש בשילוב של שתי נקודות תורפה כדי לסכן חנויות מקוונות. בסוף מרץ במג'נטו 2.3.1,
2.2.8 ו-2.1.17 תיקנו את הבעיה בקבצי Phar, אך שכחו את תיקון ה-XSS, למרות שכרטיס הבעיה נסגר. באפריל, ניתוח XSS התחדש והבעיה תוקנה במהדורות 2.3.2, 2.2.9 ו-2.1.18.

יש לציין כי מהדורות אלו מתקנים גם 75 פגיעויות, 16 מהן מדורגות כקריטיות, ו-20 בעיות יכולות להוביל לביצוע קוד PHP או החלפת SQL. רוב הבעיות הקריטיות יכולות להתבצע רק על ידי משתמש מאומת, אך כפי שמוצג לעיל, ניתן להשיג פעולות מאומתות בקלות באמצעות פגיעויות XSS, מהן כמה עשרות תוקנו במהדורות המצוינות.

מקור: OpenNet.ru