e-commerce ကို စုစည်းရန် ပွင့်လင်းသော ပလပ်ဖောင်းတစ်ခု လောက်ကြာတယ်။ အွန်လိုင်းစတိုးများဖန်တီးရန် စနစ်များ၏ စျေးကွက်၊ အားနည်းချက်များ၊ ဆာဗာပေါ်တွင် သင့်ကုဒ်ကို လုပ်ဆောင်ရန် တိုက်ခိုက်မှုတစ်ခု လုပ်ဆောင်ရန်၊ အွန်လိုင်းစတိုးအပေါ် အပြည့်အဝ ထိန်းချုပ်နိုင်စေရန်နှင့် ငွေပေးချေမှုလမ်းကြောင်းကို စုစည်းရန် ပေါင်းစပ်ထားသည့် အားနည်းချက်များ။ အားနည်းချက်များ Magento တွင် 2.3.2၊ 2.2.9 နှင့် 2.1.18 တို့သည် လုံခြုံရေးပြဿနာ 75 ခုကို အတူတကွ ဖြေရှင်းပေးသည်။
ပြဿနာတစ်ခုသည် အက်ဒ်မင်အင်တာဖေ့စ်ရှိ ပယ်ဖျက်ထားသော ဝယ်ယူမှုမှတ်တမ်းကို ကြည့်ရှုသည့်အခါ လုပ်ဆောင်နိုင်သည့် အထောက်အထားမရှိသောအသုံးပြုသူတစ်ဦးအား JavaScript (XSS) နေရာချထားမှုကို ရရှိစေရန် ခွင့်ပြုပေးပါသည်။ အားနည်းချက်၏အနှစ်သာရမှာ ငွေရှင်းခြင်းစခရင်ပေါ်ရှိ ဖျက်သိမ်းရေးဖောင်တွင် မှတ်စုတစ်ခုလုပ်ဆောင်သောအခါတွင် escapeHtmlWithLinks() လုပ်ဆောင်ချက်ကို အသုံးပြု၍ စာသားရှင်းလင်းရေးလုပ်ဆောင်မှုကို ကျော်လွှားနိုင်မှုဖြစ်သည် (“a href=http://onmouseover=…” တဂ်ကိုအသုံးပြုခြင်း အခြား tag တွင် nested)။ ခရက်ဒစ်ကတ် ငွေပေးချေမှုများကို လက်ခံရန် အသုံးပြုသည့် built-in Authorize.Net မော်ဂျူးကို အသုံးပြုသည့်အခါ ပြဿနာက ရှင်းပါသည်။
စတိုးဝန်ထမ်းတစ်ဦး၏ လက်ရှိ session ၏အခြေအနေတွင် JavaScript ကုဒ်ကိုအသုံးပြု၍ အပြည့်အဝထိန်းချုပ်မှုရရှိရန်၊ ရုပ်ပုံတစ်ခု၏အယောင်ဆောင်ထားသော phar ဖိုင်ကို တင်နိုင်စေသည့် ဒုတိယအားနည်းချက်ကို အသုံးချခြင်းဖြစ်သည် ( “ဖာရ ဖယ်ခွာခြင်း”)။ တပ်ဆင်ထားသော WYSIWYG တည်းဖြတ်မှုတွင် Phar ဖိုင်ကို ပုံထည့်သွင်းမှုပုံစံဖြင့် အပ်လုဒ်လုပ်နိုင်သည်။ ၎င်း၏ PHP ကုဒ်ကို အကောင်အထည်ဖော်မှုအောင်မြင်ပြီးနောက်၊ တိုက်ခိုက်သူသည် ငွေပေးချေမှုအသေးစိတ်အချက်အလက်များကို ပြောင်းလဲနိုင်သည် သို့မဟုတ် ဖောက်သည်ခရက်ဒစ်ကတ်အချက်အလက်ကို ကြားဖြတ်နိုင်သည်။
စိတ်ဝင်စားစရာကောင်းသည်မှာ 2018 ခုနှစ်စက်တင်ဘာလတွင် Magento developer များထံသို့ XSS ပြဿနာနှင့်ပတ်သက်သောအချက်အလက်များကိုပေးပို့ခဲ့ပြီးနိုဝင်ဘာလကုန်တွင် patch ကိုထုတ်ပြန်ခဲ့ပြီးဖြစ်သောကြောင့်၎င်းသည်အထူးကိစ္စရပ်များထဲမှတစ်ခုကိုဖယ်ရှားပြီးလွယ်ကူစွာရှောင်ရှားနိုင်သည်။ ဇန်န၀ါရီလတွင်၊ ရုပ်ပုံတစ်ခု၏အသွင်သဏ္ဍာန်အောက်တွင် Phar ဖိုင်ကိုဒေါင်းလုဒ်လုပ်ရန်ဖြစ်နိုင်ခြေနှင့်ပတ်သက်ပြီး အားနည်းချက်နှစ်ခုပေါင်းစပ်ထားသည့်အွန်လိုင်းစတိုးများကိုအပေးအယူလုပ်ရန်မည်ကဲ့သို့အသုံးပြုနိုင်ကြောင်းပြသခဲ့သည်။ မတ်လကုန်တွင် Magento 2.3.1၊
2.2.8 နှင့် 2.1.17 သည် Phar ဖိုင်များနှင့် ပြဿနာကို ဖြေရှင်းပေးခဲ့သော်လည်း ပြဿနာလက်မှတ်ကို ပိတ်ထားသော်လည်း XSS ပြင်ဆင်မှုကို မေ့သွားခဲ့သည်။ ဧပြီလတွင်၊ XSS ခွဲခြမ်းစိတ်ဖြာမှုကို ပြန်လည်စတင်ခဲ့ပြီး ထုတ်ဝေမှုများ 2.3.2၊ 2.2.9 နှင့် 2.1.18 တို့တွင် ပြဿနာကို ဖြေရှင်းခဲ့သည်။
ဤထုတ်ဝေမှုများသည် အားနည်းချက် 75 ခုကိုလည်း ပြင်ဆင်ပေးထားပြီး ၎င်းတို့အနက် 16 ခုသည် အရေးကြီးသည်ဟု အဆင့်သတ်မှတ်ထားပြီး ပြဿနာ 20 သည် PHP code execution သို့မဟုတ် SQL အစားထိုးခြင်းဆီသို့ ဦးတည်သွားနိုင်သည်ကို သတိပြုသင့်သည်။ အရေးကြီးသောပြဿနာအများစုသည် စစ်မှန်ကြောင်းအတည်ပြုထားသောအသုံးပြုသူတစ်ဦးမှသာလုပ်ဆောင်နိုင်သော်လည်း၊ အထက်တွင်ပြထားသည့်အတိုင်း XSS အားနည်းချက်များကိုအသုံးပြု၍ စစ်မှန်သောလုပ်ဆောင်မှုများကို အလွယ်တကူအောင်မြင်နိုင်သည်၊ ၎င်းတို့ထဲမှ ဒါဇင်များစွာကို ထုတ်ဝေမှုများတွင် patched ပြုလုပ်ထားသည်။
source: opennet.ru