ඊ-වාණිජ්යය සංවිධානය කිරීම සඳහා විවෘත වේදිකාවක , ගැන ගන්නා මාර්ගගත වෙළඳසැල් නිර්මාණය කිරීම සඳහා පද්ධති වෙළඳපොළ, දුර්වලතා, ඔබේ කේතය සේවාදායකයේ ක්රියාත්මක කිරීමට ප්රහාරයක් සිදු කිරීමට, සබැඳි වෙළඳසැලේ පූර්ණ පාලනය ලබා ගැනීමට සහ ගෙවීම් යළි හරවා යැවීම සංවිධානය කිරීමට ඔබට ඉඩ සලසයි. අවදානම් Magento හි 2.3.2, 2.2.9 සහ 2.1.18 නිකුත් කරන අතර, ආරක්ෂක ගැටළු 75 ක් විසඳා ඇත.
එක් ගැටළුවක් මඟින් පරිපාලක අතුරුමුහුණත තුළ අවලංගු කරන ලද මිලදී ගැනීමේ ඉතිහාසය බැලීමේදී ක්රියාත්මක කළ හැකි JavaScript (XSS) ස්ථානගත කිරීම සඳහා සත්යාපනය නොකළ පරිශීලකයෙකුට ඉඩ ලබා දේ. අනාරක්ෂිතතාවයේ සාරය නම් පිටවීමේ තිරයේ අවලංගු කිරීමේ පෝරමයේ (“a href=http://onmouseover=...” ටැගය භාවිතා කරමින් සටහනක් සැකසීමේදී escapeHtmlWithLinks() ශ්රිතය භාවිතයෙන් පෙළ පිරිසිදු කිරීමේ ක්රියාව මඟ හැරීමේ හැකියාවයි. වෙනත් ටැගයක තැන්පත් කර ඇත). ක්රෙඩිට් කාඩ් ගෙවීම් පිළිගැනීමට භාවිතා කරන ගොඩනඟන ලද Authorize.Net මොඩියුලය භාවිතා කරන විට ගැටළුව ප්රකාශ වේ.
ගබඩා සේවකයෙකුගේ වත්මන් සැසියේ සන්දර්භය තුළ JavaScript කේතය භාවිතයෙන් සම්පූර්ණ පාලනය ලබා ගැනීම සඳහා, දෙවන අවදානමක් භාවිතා කරනු ලැබේ, එමඟින් ඔබට රූපයක් මුවාවෙන් phar ගොනුවක් පැටවීමට ඉඩ සලසයි ( "Phar deserialization"). Phar ගොනුව බිල්ට්-ඉන් WYSIWYG සංස්කාරකයේ රූප ඇතුළත් කිරීමේ පෝරමය හරහා උඩුගත කළ හැක. ඔහුගේ PHP කේතය ක්රියාත්මක කිරීමෙන් පසු, ප්රහාරකයාට ගෙවීම් විස්තර වෙනස් කිරීමට හෝ පාරිභෝගික ක්රෙඩිට් කාඩ් තොරතුරු වලට බාධා කිරීමට හැකිය.
සිත්ගන්නා කරුණ නම්, XSS ගැටළුව පිළිබඳ තොරතුරු 2018 සැප්තැම්බර් මාසයේදී Magento සංවර්ධකයින් වෙත යවන ලද අතර, පසුව නොවැම්බර් මස අවසානයේදී පැච් එකක් නිකුත් කරන ලද අතර, එය සිදු වූ පරිදි, විශේෂ අවස්ථා වලින් එකක් පමණක් ඉවත් කර පහසුවෙන් මග හැරිය හැක. රූපයක් මුවාවෙන් Phar ගොනුවක් බාගත කිරීමේ හැකියාව පිළිබඳව ජනවාරි මාසයේදී එය අතිරේකව වාර්තා කරන ලද අතර සබැඳි වෙළඳසැල් සම්මුතියක් සඳහා අවදානම් දෙකක එකතුවක් භාවිතා කළ හැකි ආකාරය පෙන්වීය. Magento 2.3.1 හි මාර්තු අවසානයේ,
2.2.8 සහ 2.1.17 මඟින් Phar ගොනු සමඟ ඇති ගැටළුව විසඳා ඇත, නමුත් නිකුත් කිරීමේ ටිකට් පත වසා තිබුණද XSS නිවැරදි කිරීම අමතක විය. අප්රේල් මාසයේදී, XSS විග්රහ කිරීම නැවත ආරම්භ වූ අතර 2.3.2, 2.2.9, සහ 2.1.18 නිකුතු වල ගැටළුව විසඳන ලදී.
මෙම නිකුතු මඟින් දුර්වලතා 75ක් නිරාකරණය කරන අතර, ඉන් 16ක් තීරණාත්මක ලෙස ශ්රේණිගත කර ඇති අතර, ගැටළු 20ක් PHP කේත ක්රියාත්මක කිරීමට හෝ SQL ආදේශ කිරීමට හේතු විය හැකි බව සටහන් කළ යුතුය. බොහෝ තීරනාත්මක ගැටළු සිදු කළ හැක්කේ සත්යාපිත පරිශීලකයෙකුට පමණි, නමුත් ඉහත පෙන්වා ඇති පරිදි, XSS දුර්වලතා භාවිතයෙන් සත්යාපනය කළ මෙහෙයුම් පහසුවෙන් සාක්ෂාත් කරගත හැකි අතර, ඒවායින් දුසිම් කිහිපයක් සටහන් කර ඇති නිකුතු වල පැච් කර ඇත.
මූලාශ්රය: opennet.ru