ஈ-காமர்ஸை ஒழுங்கமைப்பதற்கான திறந்த தளத்தில் , இது பற்றி எடுக்கும் ஆன்லைன் ஸ்டோர்களை உருவாக்குவதற்கான அமைப்புகளின் சந்தை, பாதிப்புகள், இவற்றின் கலவையானது சேவையகத்தில் உங்கள் குறியீட்டை இயக்கவும், ஆன்லைன் ஸ்டோரில் முழுக் கட்டுப்பாட்டைப் பெறவும் மற்றும் பணம் செலுத்துவதற்கான திசைதிருப்பலை ஒழுங்கமைக்கவும் ஒரு தாக்குதலை மேற்கொள்ள உங்களை அனுமதிக்கிறது. பாதிப்புகள் Magento இல் 2.3.2, 2.2.9 மற்றும் 2.1.18 வெளியிடப்பட்டது, இது ஒன்றாக 75 பாதுகாப்பு சிக்கல்களை சரிசெய்தது.
ஒரு சிக்கல் அங்கீகரிக்கப்படாத பயனரை JavaScript (XSS) இடத்தைப் பெற அனுமதிக்கிறது, இது நிர்வாக இடைமுகத்தில் ரத்துசெய்யப்பட்ட கொள்முதல் வரலாற்றைப் பார்க்கும்போது செயல்படுத்தப்படும். செக் அவுட் திரையில் ("a href=http://onmouseover=..." குறிச்சொல்லைப் பயன்படுத்தி, ரத்துசெய்தல் படிவத்தில் குறிப்பைச் செயலாக்கும்போது எஸ்கேப்HtmlWithLinks() செயல்பாட்டைப் பயன்படுத்தி உரைச் சுத்தம் செய்யும் செயல்பாட்டைப் புறக்கணிக்கும் திறனே பாதிப்பின் சாராம்சம். மற்றொரு குறிச்சொல்லில் உள்ளமைக்கப்பட்டது). கிரெடிட் கார்டு கொடுப்பனவுகளை ஏற்கப் பயன்படும் உள்ளமைக்கப்பட்ட Authorize.Net தொகுதியைப் பயன்படுத்தும் போது சிக்கல் தன்னை வெளிப்படுத்துகிறது.
கடை ஊழியரின் தற்போதைய அமர்வின் சூழலில் ஜாவாஸ்கிரிப்ட் குறியீட்டைப் பயன்படுத்தி முழுக் கட்டுப்பாட்டைப் பெற, இரண்டாவது பாதிப்பு சுரண்டப்படுகிறது, இது ஒரு படத்தின் போர்வையில் ஃபார் கோப்பை ஏற்ற அனுமதிக்கிறது ( "ஃபார் டீரியலைசேஷன்"). உள்ளமைக்கப்பட்ட WYSIWYG எடிட்டரில் உள்ள படத்தைச் செருகும் படிவத்தின் மூலம் Phar கோப்பைப் பதிவேற்றலாம். அவரது PHP குறியீட்டை செயல்படுத்திய பிறகு, தாக்குபவர் பணம் செலுத்தும் விவரங்களை மாற்றலாம் அல்லது வாடிக்கையாளர் கிரெடிட் கார்டு தகவலை இடைமறிக்கலாம்.
சுவாரஸ்யமாக, XSS சிக்கல் பற்றிய தகவல்கள் செப்டம்பர் 2018 இல் Magento டெவலப்பர்களுக்கு அனுப்பப்பட்டன, அதன் பிறகு நவம்பர் இறுதியில் ஒரு இணைப்பு வெளியிடப்பட்டது, இது மாறியது போல், சிறப்பு நிகழ்வுகளில் ஒன்றை மட்டுமே நீக்குகிறது மற்றும் எளிதில் தவிர்க்கப்படுகிறது. ஜனவரியில், ஒரு படத்தின் போர்வையில் ஒரு Phar கோப்பைப் பதிவிறக்குவதற்கான சாத்தியக்கூறுகள் குறித்து கூடுதலாக அறிவிக்கப்பட்டது மற்றும் ஆன்லைன் ஸ்டோர்களில் சமரசம் செய்ய இரண்டு பாதிப்புகளின் கலவையை எவ்வாறு பயன்படுத்தலாம் என்பதைக் காட்டியது. Magento 2.3.1 இல் மார்ச் மாத இறுதியில்,
2.2.8 மற்றும் 2.1.17 ஆகியவை Phar கோப்புகளில் உள்ள சிக்கலைச் சரிசெய்தன, ஆனால் XSS தீர்வை மறந்துவிட்டது, இருப்பினும் வெளியீட்டு டிக்கெட் மூடப்பட்டது. ஏப்ரலில், XSS பாகுபடுத்துதல் மீண்டும் தொடங்கியது மற்றும் 2.3.2, 2.2.9 மற்றும் 2.1.18 வெளியீடுகளில் சிக்கல் சரி செய்யப்பட்டது.
இந்த வெளியீடுகள் 75 பாதிப்புகளை சரிசெய்கிறது, அவற்றில் 16 முக்கியமானவை என மதிப்பிடப்பட்டுள்ளது, மேலும் 20 சிக்கல்கள் PHP குறியீடு செயல்படுத்தல் அல்லது SQL மாற்றீட்டிற்கு வழிவகுக்கும் என்பதை கவனத்தில் கொள்ள வேண்டும். பெரும்பாலான முக்கியமான சிக்கல்கள் அங்கீகரிக்கப்பட்ட பயனரால் மட்டுமே செய்யப்பட முடியும், ஆனால் மேலே காட்டப்பட்டுள்ளபடி, XSS பாதிப்புகளைப் பயன்படுத்தி அங்கீகரிக்கப்பட்ட செயல்பாடுகளை எளிதாக அடைய முடியும், அவற்றில் பல டஜன் குறிப்பிடப்பட்ட வெளியீடுகளில் இணைக்கப்பட்டுள்ளன.
ஆதாரம்: opennet.ru