Sethaleng se bulehileng sa ho hlophisa khoebo ea e-commerce , e nkang hoo e ka bang 'maraka oa litsamaiso tsa ho theha mabenkele a marang-rang, bofokoli, motsoako oa bona o u lumellang ho etsa tlhaselo ho phethahatsa khoutu ea hau ho seva, fumana taolo e felletseng holim'a lebenkele la inthanete le ho hlophisa phetisetso ea litefo. Bofokoli ho Magento e lokolla 2.3.2, 2.2.9 le 2.1.18, tseo hammoho li lokiselitseng litaba tse 75 tsa ts'ireletso.
Khatiso e le 'ngoe e lumella mosebelisi ea sa netefatsoang ho fihlella sebaka sa JavaScript (XSS) se ka sebelisoang ha u sheba nalane ea theko e hlakotsoeng ho interface ea admin. Taba ea bofokoli ke bokhoni ba ho tlola tšebetso ea ho hloekisa mongolo u sebelisa ts'ebetso ea escapeHtmlWithLinks() ha o sebetsana le molaetsa ka foromo ea ho hlakola skrineng sa ho tsoa (o sebelisa "a href=http://onmouseover=..." tag. sehlaha ka hara tag enngwe). Bothata bo iponahatsa ha u sebelisa mojule oa Authorize.Net o hahiloeng kahare, o sebelisetsoang ho amohela litefo tsa karete ea mokoloto.
Ho fumana taolo e felletseng ka ho sebelisa khoutu ea JavaScript molemong oa seboka sa hajoale sa mosebeletsi oa lebenkele, ho sebelisoa ts'oaetso ea bobeli, e u lumellang ho kenya faele ea phar tlas'a setšoantšo sa setšoantšo ( "Phar deserialization"). Faele ea Phar e ka kenngoa ka foromo ea ho kenya setšoantšo ho mohlophisi oa WYSIWYG o hahiloeng. Ha a se a fihletse ts'ebetsong ea khoutu ea hae ea PHP, mohlaseli a ka fetola lintlha tsa tefo kapa a thibela tlhahisoleseling ea karete ea mokoloto ea bareki.
Hoa thahasellisa hore tlhahisoleseding e mabapi le bothata ba XSS e rometsoe ho baetsi ba Magento morao koana ka September 2018, ka mor'a moo patch e ile ea lokolloa qetellong ea November, eo, ha e le hantle, e felisang e le 'ngoe feela ea linyeoe tse khethehileng' me e kheloha habonolo. Ka Pherekhong, ho ile ha tlalehoa hape ka monyetla oa ho khoasolla faele ea Phar tlas'a sets'oants'o mme ea bonts'a hore na ho kopana ha bofokoli ba babeli ho ka sebelisoa joang ho sekisetsa mabenkele a marang-rang. Qetellong ea Hlakubele ho Magento 2.3.1,
2.2.8 le 2.1.17 li ile tsa lokisa bothata ka lifaele tsa Phar, empa li lebetse tokiso ea XSS, leha tekete ea khatiso e ne e koetsoe. Ka Mmesa, tlhahlobo ea XSS e ile ea tsoela pele 'me bothata bo ile ba lokisoa ho likhatiso tsa 2.3.2, 2.2.9, le 2.1.18.
Hoa lokela ho hlokomeloa hore litokollo tsena li boetse li lokisa bofokoli ba 75, tse 16 tsa tsona li nkoa e le tsa bohlokoa, 'me litaba tse 20 li ka lebisa ho ts'ebetsong ea khoutu ea PHP kapa ho nkeloa sebaka ke SQL. Mathata a mangata a bohlokoa a ka etsoa feela ke mosebelisi ea netefalitsoeng, empa joalo ka ha ho bonts'itsoe kaholimo, ts'ebetso e netefalitsoeng e ka fihlelleha habonolo ho sebelisoa bofokoli ba XSS, boo palo ea bona e 'maloa e kentsoeng likhatisong tse boletsoeng.
Source: opennet.ru