I roto i te papa tuwhera mo te whakahaere e-hokohoko , e tata ana maakete o nga punaha mo te hanga toa ipurangi, whakaraeraetanga, te huinga o e taea ki a koe te kawe i te whakaeke ki te mahia to koutou waehere i runga i te tūmau, riro te mana katoa i runga i te toa ipurangi me te whakarite i te aronga o utu. Nga whakaraeraetanga i roto i te Magento tuku 2.3.2, 2.2.9 me 2.1.18, i whakaritea tahi 75 take haumarutanga.
Ko tetahi take ka taea e tetahi kaiwhakamahi kore pono ki te whakatutuki i te tuunga JavaScript (XSS) ka taea te mahi i te wa e tiro ana i te hitori hoko whakakore i roto i te atanga whakahaere. Ko te ngako o te whakaraeraetanga ko te kaha ki te karo i te mahi horoi kuputuhi ma te whakamahi i te mahi escapeHtmlWithLinks() i te wa e tukatuka ana i te tuhipoka i te puka whakakore i runga i te mata tirotiro (ma te whakamahi i te tohu "a href=http://onmouseover=..." kohanga ki tetahi atu tohu). Ka puta te raruraru i te wa e whakamahi ana i te waahanga Authorize.Net kua hangaia, e whakamahia ana hei whakaae i nga utu kaari nama.
Ki te whiwhi mana katoa ma te whakamahi i te waehere JavaScript i roto i te horopaki o te huihuinga o naianei o te kaimahi toa, ka whakamahia te whakaraerae tuarua, ka taea e koe te uta i tetahi konae phar i raro i te ahua o te ahua ( "Phar deserialization"). Ka taea te tukuake te konae Phar ma te puka whakauru whakaahua i roto i te ētita WYSIWYG i hangaia. Ka tutuki i a ia tana waehere PHP, ka taea e te kaiwhaiwhai te whakarereke i nga taipitopito utu, te haukoti ranei i nga korero kaari nama a nga kaihoko.
Ko te mea whakamiharo, ko nga korero mo te raru XSS i tukuna ki nga kaiwhakawhanake Magento i te marama o Mahuru 2018, i muri mai ka tukuna he papaki i te mutunga o Noema, na te mea i puta, ka whakakorehia tetahi o nga keehi motuhake me te ngawari ki te karo. I te marama o Hanuere, i tukuna ano te korero mo te tango i tetahi konae Phar i raro i te ahua o te ahua me te whakaatu me pehea te whakamahi i nga whakaraeraetanga e rua hei whakararu i nga toa ipurangi. I te mutunga o Maehe i Magento 2.3.1,
I whakatikahia e 2.2.8 me 2.1.17 te raru ki nga konae Phar, engari i wareware ki te whakatika XSS, ahakoa kua kati te tikiti take. I te Paenga-whāwhā, ka timata ano te whakamaarama XSS, ka whakatikahia te take i roto i nga putanga 2.3.2, 2.2.9, me 2.1.18.
Me tohu ko enei tukunga ka whakatika ano i nga whakaraeraetanga 75, 16 o enei kua whakatauhia he mea tino nui, a ka 20 nga take ka arahi ki te mahi waehere PHP, ki te whakakapi SQL ranei. Ko te nuinga o nga raru nui ka taea anake e te kaiwhakamahi kua whakamotuhēhēhia, engari ka rite ki te whakaaturanga i runga ake nei, ka ngawari te whakatutuki i nga mahi motuhēhē mā te whakamahi whakaraeraetanga XSS, he maha nga tatini kua papakihia i roto i nga whakaputanga kua tohua.
Source: opennet.ru