In een open platform voor het organiseren van e-commerce , wat ongeveer duurt markt van systemen voor het creëren van online winkels, kwetsbaarheden, waarvan de combinatie u in staat stelt een aanval uit te voeren om uw code op de server uit te voeren, volledige controle over de online winkel te krijgen en het doorsturen van betalingen te organiseren. Kwetsbaarheden in Magento releases 2.3.2, 2.2.9 en 2.1.18, die samen 75 beveiligingsproblemen hebben opgelost.
Eén probleem zorgt ervoor dat een niet-geverifieerde gebruiker JavaScript (XSS)-plaatsing kan bewerkstelligen die kan worden uitgevoerd bij het bekijken van de geannuleerde aankoopgeschiedenis in de beheerdersinterface. De essentie van het beveiligingslek is de mogelijkheid om het opschonen van tekst te omzeilen met behulp van de functie escapeHtmlWithLinks() bij het verwerken van een notitie in het annuleringsformulier op het afrekenscherm (met behulp van de tag “a href=http://onmouseover=...“). genest in een andere tag). Het probleem manifesteert zich bij het gebruik van de ingebouwde Authorize.Net-module, die wordt gebruikt om creditcardbetalingen te accepteren.
Om volledige controle te krijgen met behulp van JavaScript-code in de context van de huidige sessie van een winkelmedewerker, wordt misbruik gemaakt van een tweede kwetsbaarheid, waardoor je een phar-bestand kunt laden onder het mom van een afbeelding ( "Phar-deserialisatie"). Het Phar-bestand kan worden geüpload via het afbeeldingsinvoegformulier in de ingebouwde WYSIWYG-editor. Nadat zijn PHP-code is uitgevoerd, kan de aanvaller vervolgens de betalingsgegevens wijzigen of de creditcardgegevens van klanten onderscheppen.
Interessant is dat informatie over het XSS-probleem in september 2018 naar de Magento-ontwikkelaars werd gestuurd, waarna eind november een patch werd uitgebracht, die, zo bleek, slechts één van de speciale gevallen elimineert en gemakkelijk kan worden omzeild. In januari werd bovendien gerapporteerd over de mogelijkheid om een Phar-bestand te downloaden onder het mom van een afbeelding en werd getoond hoe een combinatie van twee kwetsbaarheden kon worden gebruikt om online winkels te compromitteren. Eind maart in Magento 2.3.1,
2.2.8 en 2.1.17 losten het probleem met Phar-bestanden op, maar vergaten de XSS-fix, hoewel het probleemticket gesloten was. In april werd het XSS-parseren hervat en werd het probleem opgelost in releases 2.3.2, 2.2.9 en 2.1.18.
Opgemerkt moet worden dat deze releases ook 75 kwetsbaarheden verhelpen, waarvan er 16 als kritiek worden beoordeeld, en dat 20 problemen kunnen leiden tot uitvoering van PHP-code of SQL-vervanging. De meeste kritieke problemen kunnen alleen worden begaan door een geauthenticeerde gebruiker, maar zoals hierboven weergegeven, kunnen geauthenticeerde handelingen eenvoudig worden uitgevoerd met behulp van XSS-kwetsbaarheden, waarvan er enkele tientallen zijn gepatcht in de genoemde releases.
Bron: opennet.ru