Katika jukwaa wazi la kuandaa biashara ya mtandaoni , ambayo inachukua karibu soko la mifumo ya kuunda maduka ya mtandaoni, udhaifu, mchanganyiko ambao hukuruhusu kutekeleza shambulio la kutekeleza nambari yako kwenye seva, kupata udhibiti kamili wa duka la mkondoni na kupanga uelekezaji wa malipo. Udhaifu katika Magento inatoa 2.3.2, 2.2.9 na 2.1.18, ambazo kwa pamoja zilisuluhisha masuala 75 ya usalama.
Toleo moja huruhusu mtumiaji ambaye hajaidhinishwa kufikia uwekaji wa JavaScript (XSS) ambao unaweza kutekelezwa wakati wa kuangalia historia ya ununuzi iliyoghairiwa katika kiolesura cha msimamizi. Kiini cha athari ni uwezo wa kukwepa operesheni ya kusafisha maandishi kwa kutumia kitendakazi cha escapeHtmlWithLinks() unapochakata dokezo katika fomu ya kughairi kwenye skrini ya kulipa (kwa kutumia lebo ya βa href=http://onmouseover=..." iliyowekwa kwenye lebo nyingine). Tatizo linajidhihirisha wakati wa kutumia moduli iliyojengewa ndani ya Authorize.Net, ambayo hutumiwa kukubali malipo ya kadi ya mkopo.
Ili kupata udhibiti kamili kwa kutumia msimbo wa JavaScript katika muktadha wa kikao cha sasa cha mfanyakazi wa duka, athari ya pili inatumiwa, ambayo hukuruhusu kupakia faili ya phar chini ya kivuli cha picha ( "Phar deserialization"). Faili ya Phar inaweza kupakiwa kupitia fomu ya kuingiza picha katika kihariri cha WYSIWYG kilichojengewa ndani. Baada ya kufikia utekelezaji wa msimbo wake wa PHP, mshambuliaji anaweza kubadilisha maelezo ya malipo au kuingilia maelezo ya kadi ya mkopo ya mteja.
Inafurahisha, habari juu ya shida ya XSS ilitumwa kwa watengenezaji wa Magento mnamo Septemba 2018, baada ya hapo kiraka kilitolewa mwishoni mwa Novemba, ambayo, kama ilivyotokea, huondoa kesi moja tu na inazuiliwa kwa urahisi. Mnamo Januari, iliripotiwa pia juu ya uwezekano wa kupakua faili ya Phar chini ya kivuli cha picha na ilionyesha jinsi mchanganyiko wa udhaifu mbili unaweza kutumika kuhatarisha maduka ya mtandaoni. Mwishoni mwa Machi katika Magento 2.3.1,
2.2.8 na 2.1.17 zilisuluhisha tatizo na faili za Phar, lakini ilisahau kurekebisha XSS, ingawa tikiti ya suala ilifungwa. Mnamo Aprili, uchanganuzi wa XSS ulianza tena na suala lilirekebishwa katika matoleo 2.3.2, 2.2.9, na 2.1.18.
Ikumbukwe kwamba matoleo haya pia hurekebisha udhaifu 75, 16 kati yao umekadiriwa kuwa muhimu, na masuala 20 yanaweza kusababisha utekelezaji wa msimbo wa PHP au uingizwaji wa SQL. Shida muhimu zaidi zinaweza tu kufanywa na mtumiaji aliyeidhinishwa, lakini kama inavyoonyeshwa hapo juu, utendakazi ulioidhinishwa unaweza kupatikana kwa urahisi kwa kutumia udhaifu wa XSS, ambao dazeni kadhaa zimetiwa viraka katika matoleo yaliyobainishwa.
Chanzo: opennet.ru