Në një platformë të hapur për organizimin e e-commerce , e cila merr rreth tregu i sistemeve për krijimin e dyqaneve në internet, dobësitë, kombinimi i të cilave ju lejon të kryeni një sulm për të ekzekutuar kodin tuaj në server, të fitoni kontroll të plotë mbi dyqanin online dhe të organizoni ridrejtimin e pagesave. Dobësitë në çështje Magento 2.3.2, 2.2.9 dhe 2.1.18, të cilat së bashku trajtojnë 75 çështje që lidhen me sigurinë.
Një problem lejon një përdorues të paautentikuar të arrijë vendosjen e JavaScript (XSS) që mund të ekzekutohet kur shikon historikun e blerjeve të anuluara në ndërfaqen e administratorit. Thelbi i cenueshmërisë është aftësia për të anashkaluar operacionin e pastrimit të tekstit duke përdorur funksionin escapeHtmlWithLinks() kur përpunoni një shënim në formularin e anulimit në ekranin e arkës (duke përdorur etiketën "a href=http://onmouseover=..." i futur në një etiketë tjetër). Problemi shfaqet kur përdorni modulin e integruar Authorize.Net, i cili përdoret për të pranuar pagesa me kartë krediti.
Për të fituar kontroll të plotë duke përdorur kodin JavaScript në kontekstin e sesionit aktual të një punonjësi të dyqanit, shfrytëzohet një cenueshmëri e dytë, e cila ju lejon të ngarkoni një skedar phar nën maskën e një imazhi ( "Phar deserializimi"). Skedari Phar mund të ngarkohet përmes formularit të futjes së imazhit në redaktuesin e integruar WYSIWYG. Pasi të ketë arritur ekzekutimin e kodit të tij PHP, sulmuesi më pas mund të ndryshojë detajet e pagesës ose të përgjojë informacionin e kartës së kreditit të klientit.
Interesante është se informacioni në lidhje me problemin XSS iu dërgua zhvilluesve. Magento në shtator 2018, e ndjekur nga një patch i lëshuar në fund të nëntorit që, siç doli, trajtoi vetëm një nga rastet specifike dhe u anashkalua lehtësisht. Në janar, u raportua më tej se ishte e mundur të ngarkohej një skedar Phar i maskuar si imazh, dhe u demonstrua se si një kombinim i dy dobësive mund të përdoret për të kompromentuar dyqanet online. Në fund të marsit, Magento 2.3.1,
2.2.8 dhe 2.1.17 rregulluan problemin me skedarët Phar, por harruan rregullimin XSS, megjithëse bileta e lëshimit ishte e mbyllur. Në prill, analizimi i XSS rifilloi dhe problemi u rregullua në versionet 2.3.2, 2.2.9 dhe 2.1.18.
Duhet të theksohet se këto lëshime rregullojnë gjithashtu 75 dobësi, 16 prej të cilave janë vlerësuar si kritike, dhe 20 çështje mund të çojnë në ekzekutimin e kodit PHP ose zëvendësimin e SQL. Shumica e problemeve kritike mund të kryhen vetëm nga një përdorues i vërtetuar, por siç tregohet më lart, operacionet e vërtetuara mund të arrihen lehtësisht duke përdorur dobësitë XSS, nga të cilat disa dhjetëra janë rregulluar në versionet e shënuara.
Burimi: opennet.ru
