Në një platformë të hapur për organizimin e e-commerce , e cila merr rreth tregu i sistemeve për krijimin e dyqaneve në internet, dobësitë, kombinimi i të cilave ju lejon të kryeni një sulm për të ekzekutuar kodin tuaj në server, të fitoni kontroll të plotë mbi dyqanin online dhe të organizoni ridrejtimin e pagesave. Dobësitë në Magento lëshon 2.3.2, 2.2.9 dhe 2.1.18, të cilat së bashku rregulluan 75 çështje sigurie.
Një problem lejon një përdorues të paautentikuar të arrijë vendosjen e JavaScript (XSS) që mund të ekzekutohet kur shikon historikun e blerjeve të anuluara në ndërfaqen e administratorit. Thelbi i cenueshmërisë është aftësia për të anashkaluar operacionin e pastrimit të tekstit duke përdorur funksionin escapeHtmlWithLinks() kur përpunoni një shënim në formularin e anulimit në ekranin e arkës (duke përdorur etiketën "a href=http://onmouseover=..." i futur në një etiketë tjetër). Problemi shfaqet kur përdorni modulin e integruar Authorize.Net, i cili përdoret për të pranuar pagesa me kartë krediti.
Për të fituar kontroll të plotë duke përdorur kodin JavaScript në kontekstin e sesionit aktual të një punonjësi të dyqanit, shfrytëzohet një cenueshmëri e dytë, e cila ju lejon të ngarkoni një skedar phar nën maskën e një imazhi ( "Phar deserializimi"). Skedari Phar mund të ngarkohet përmes formularit të futjes së imazhit në redaktuesin e integruar WYSIWYG. Pasi të ketë arritur ekzekutimin e kodit të tij PHP, sulmuesi më pas mund të ndryshojë detajet e pagesës ose të përgjojë informacionin e kartës së kreditit të klientit.
Është interesante se informacioni në lidhje me problemin XSS iu dërgua zhvilluesve të Magento në shtator 2018, pas së cilës u lëshua një patch në fund të nëntorit, i cili, siç doli, eliminon vetëm një nga rastet e veçanta dhe anashkalohet lehtësisht. Në janar, u raportua gjithashtu për mundësinë e shkarkimit të një skedari Phar nën maskën e një imazhi dhe tregoi se si një kombinim i dy dobësive mund të përdoret për të kompromentuar dyqanet në internet. Në fund të marsit në Magento 2.3.1,
2.2.8 dhe 2.1.17 rregulluan problemin me skedarët Phar, por harruan rregullimin XSS, megjithëse bileta e lëshimit ishte e mbyllur. Në prill, analizimi i XSS rifilloi dhe problemi u rregullua në versionet 2.3.2, 2.2.9 dhe 2.1.18.
Duhet të theksohet se këto lëshime rregullojnë gjithashtu 75 dobësi, 16 prej të cilave janë vlerësuar si kritike, dhe 20 çështje mund të çojnë në ekzekutimin e kodit PHP ose zëvendësimin e SQL. Shumica e problemeve kritike mund të kryhen vetëm nga një përdorues i vërtetuar, por siç tregohet më lart, operacionet e vërtetuara mund të arrihen lehtësisht duke përdorur dobësitë XSS, nga të cilat disa dhjetëra janë rregulluar në versionet e shënuara.
Burimi: opennet.ru