Madal furan oo lagu abaabulo ganacsiga e-commerce , kaas oo ku saabsan suuqa hababka abuurista dukaamada online, dayacanka, isku-darka kaas oo kuu ogolaanaya inaad qaaddo weerar si aad ufuliso code-kaaga server-ka, aad si buuxda u maamusho dukaanka internetka oo aad u habayso dib u habeynta lacagaha. Nuglaanta gudaha Magento wuxuu siidaayay 2.3.2, 2.2.9 iyo 2.1.18, kuwaas oo si wada jir ah u go'aamiyay 75 arrimood oo amniga ah.
Hal arrin ayaa u oggolaanaysa isticmaale aan la aqoonsan inuu ku guuleysto meelaynta JavaScript (XSS) kaas oo la fulin karo marka la eego taariikhda iibka la joojiyay ee interface-ka maamulka. Nuxurka nuglaanshaha waa awooda lagu dhaafo hawlgalka nadiifinta qoraalka iyadoo la adeegsanayo shaqada baxsadayHtmlWithLinks () marka la samaynayo qoraal foomka burinta ee shaashadda hubinta (adoo la isticmaalayo "a href=http://onmouseover=..." tag). buul kale ku yaal). Dhibaatadu waxay soo baxdaa marka la isticmaalayo moduleka Authorize.Net ee ku dhex jira, kaas oo loo isticmaalo in lagu aqbalo lacagaha kaararka deynta.
Si aad u hesho koontarool buuxa adoo isticmaalaya koodhka JavaScript ee macnaha guud ee kalfadhiga hadda jira ee shaqaalaha dukaanka, nuglaanta labaad ayaa laga faa'iidaystaa, taas oo kuu ogolaanaysa inaad ku shubto faylka phar ee hoos yimaada muuqaalka sawirka ( "Farriinta ka saarista"). Faylka Phar waxaa lagu dhejin karaa foomka gelinta sawirka ee ku dhex jira tifaftiraha WYSIWYG. Ka dib markii uu ku guuleystey fulinta koodka PHP, weeraryahanku wuxuu bedeli karaa faahfaahinta lacag bixinta ama faragelin karaa macluumaadka kaararka deynta macaamiisha.
Waxa xiiso leh, macluumaadka ku saabsan dhibaatada XSS waxaa loo diray horumarinta Magento bishii Sebtembar 2018, ka dib markii la sii daayay balastar dhammaadkii Noofembar, taas oo, sida ay soo baxday, waxay tirtiraysaa mid ka mid ah kiisaska gaarka ah oo si fudud loo hareermaray. Bishii Janaayo, waxaa sidoo kale la soo wariyay suurtagalnimada in la soo dejiyo feylka Phar iyada oo la qarinayo sawirka waxayna muujisay sida isku darka laba nugul loo isticmaali karo in lagu waxyeeleeyo dukaamada onlineka ah. Dhamaadka Maarso ee Magento 2.3.1,
2.2.8 iyo 2.1.17 waxay hagaajiyeen dhibaatada faylasha Phar, laakiin waxay illoobeen XSS hagaajinta, inkasta oo tigidhkii arrinta la xidhay. Bishii Abriil, falanqaynta XSS ayaa dib u bilaabatay, arrinta waxaa lagu hagaajiyay siidaynta 2.3.2, 2.2.9, iyo 2.1.18.
Waa in la ogaadaa in sii-deyntan ay sidoo kale hagaajinayaan dayacanka 75, 16 ka mid ah ayaa lagu qiimeeyay inay yihiin kuwo halis ah, iyo arrimaha 20 waxay u horseedi karaan fulinta PHP code ama bedelka SQL. Inta badan dhibaatooyinka halista ah waxaa samayn kara oo kaliya isticmaale la xaqiijiyay, laakiin sida kor ku cad, hawlgallada la xaqiijiyay ayaa si fudud lagu gaari karaa iyadoo la adeegsanayo dayacanka XSS, kuwaas oo dhowr iyo toban ka mid ah lagu dhajiyay siidaynta la xusay.
Source: opennet.ru