ஈ-காமர்ஸை ஒழுங்கமைப்பதற்கான திறந்த தளத்தில்
ஒரு சிக்கல் அங்கீகரிக்கப்படாத பயனரை JavaScript (XSS) இடத்தைப் பெற அனுமதிக்கிறது, இது நிர்வாக இடைமுகத்தில் ரத்துசெய்யப்பட்ட கொள்முதல் வரலாற்றைப் பார்க்கும்போது செயல்படுத்தப்படும். செக் அவுட் திரையில் ("a href=http://onmouseover=..." குறிச்சொல்லைப் பயன்படுத்தி, ரத்துசெய்தல் படிவத்தில் குறிப்பைச் செயலாக்கும்போது எஸ்கேப்HtmlWithLinks() செயல்பாட்டைப் பயன்படுத்தி உரைச் சுத்தம் செய்யும் செயல்பாட்டைப் புறக்கணிக்கும் திறனே பாதிப்பின் சாராம்சம். மற்றொரு குறிச்சொல்லில் உள்ளமைக்கப்பட்டது). கிரெடிட் கார்டு கொடுப்பனவுகளை ஏற்கப் பயன்படும் உள்ளமைக்கப்பட்ட Authorize.Net தொகுதியைப் பயன்படுத்தும் போது சிக்கல் தன்னை வெளிப்படுத்துகிறது.
கடை ஊழியரின் தற்போதைய அமர்வின் சூழலில் ஜாவாஸ்கிரிப்ட் குறியீட்டைப் பயன்படுத்தி முழுக் கட்டுப்பாட்டைப் பெற, இரண்டாவது பாதிப்பு சுரண்டப்படுகிறது, இது ஒரு படத்தின் போர்வையில் ஃபார் கோப்பை ஏற்ற அனுமதிக்கிறது (
சுவாரஸ்யமாக, XSS சிக்கல் பற்றிய தகவல்கள் செப்டம்பர் 2018 இல் Magento டெவலப்பர்களுக்கு அனுப்பப்பட்டன, அதன் பிறகு நவம்பர் இறுதியில் ஒரு இணைப்பு வெளியிடப்பட்டது, இது மாறியது போல், சிறப்பு நிகழ்வுகளில் ஒன்றை மட்டுமே நீக்குகிறது மற்றும் எளிதில் தவிர்க்கப்படுகிறது. ஜனவரியில், ஒரு படத்தின் போர்வையில் ஒரு Phar கோப்பைப் பதிவிறக்குவதற்கான சாத்தியக்கூறுகள் குறித்து கூடுதலாக அறிவிக்கப்பட்டது மற்றும் ஆன்லைன் ஸ்டோர்களில் சமரசம் செய்ய இரண்டு பாதிப்புகளின் கலவையை எவ்வாறு பயன்படுத்தலாம் என்பதைக் காட்டியது. Magento 2.3.1 இல் மார்ச் மாத இறுதியில்,
2.2.8 மற்றும் 2.1.17 ஆகியவை Phar கோப்புகளில் உள்ள சிக்கலைச் சரிசெய்தன, ஆனால் XSS தீர்வை மறந்துவிட்டது, இருப்பினும் வெளியீட்டு டிக்கெட் மூடப்பட்டது. ஏப்ரலில், XSS பாகுபடுத்துதல் மீண்டும் தொடங்கியது மற்றும் 2.3.2, 2.2.9 மற்றும் 2.1.18 வெளியீடுகளில் சிக்கல் சரி செய்யப்பட்டது.
இந்த வெளியீடுகள் 75 பாதிப்புகளை சரிசெய்கிறது, அவற்றில் 16 முக்கியமானவை என மதிப்பிடப்பட்டுள்ளது, மேலும் 20 சிக்கல்கள் PHP குறியீடு செயல்படுத்தல் அல்லது SQL மாற்றீட்டிற்கு வழிவகுக்கும் என்பதை கவனத்தில் கொள்ள வேண்டும். பெரும்பாலான முக்கியமான சிக்கல்கள் அங்கீகரிக்கப்பட்ட பயனரால் மட்டுமே செய்யப்பட முடியும், ஆனால் மேலே காட்டப்பட்டுள்ளபடி, XSS பாதிப்புகளைப் பயன்படுத்தி அங்கீகரிக்கப்பட்ட செயல்பாடுகளை எளிதாக அடைய முடியும், அவற்றில் பல டஜன் குறிப்பிடப்பட்ட வெளியீடுகளில் இணைக்கப்பட்டுள்ளன.
ஆதாரம்: opennet.ru