Sa isang bukas na platform para sa pag-aayos ng e-commerce , na tumatagal ng tungkol sa merkado ng mga sistema para sa paglikha ng mga online na tindahan, mga kahinaan, ang kumbinasyon nito ay nagpapahintulot sa iyo na magsagawa ng isang pag-atake upang maisagawa ang iyong code sa server, makakuha ng ganap na kontrol sa online na tindahan at ayusin ang pag-redirect ng mga pagbabayad. Mga kahinaan sa Magento ay naglalabas ng 2.3.2, 2.2.9 at 2.1.18, na magkakasamang nag-ayos ng 75 isyu sa seguridad.
Ang isang isyu ay nagbibigay-daan sa isang hindi napatotohanang user na makamit ang JavaScript (XSS) na pagkakalagay na maaaring isagawa kapag tinitingnan ang nakanselang kasaysayan ng pagbili sa interface ng admin. Ang kakanyahan ng kahinaan ay ang kakayahang i-bypass ang operasyon ng paglilinis ng teksto gamit ang escapeHtmlWithLinks() function kapag nagpoproseso ng tala sa form ng pagkansela sa screen ng pag-checkout (gamit ang tag na βa href=http://onmouseover=..." nested sa isa pang tag). Ang problema ay nagpapakita mismo kapag ginagamit ang built-in na Authorize.Net module, na ginagamit upang tanggapin ang mga pagbabayad sa credit card.
Upang makakuha ng ganap na kontrol gamit ang JavaScript code sa konteksto ng kasalukuyang session ng isang empleyado ng tindahan, ang pangalawang kahinaan ay pinagsamantalahan, na nagbibigay-daan sa iyong mag-load ng phar file sa ilalim ng pagkukunwari ng isang imahe ( "Phar deserialization"). Maaaring i-upload ang Phar file sa pamamagitan ng image insertion form sa built-in na WYSIWYG editor. Nang makamit ang pagpapatupad ng kanyang PHP code, maaaring baguhin ng attacker ang mga detalye ng pagbabayad o maharang ang impormasyon ng credit card ng customer.
Kapansin-pansin, ang impormasyon tungkol sa problema sa XSS ay ipinadala sa mga nag-develop ng Magento noong Setyembre 2018, pagkatapos nito ay inilabas ang isang patch sa katapusan ng Nobyembre, na kung saan, tulad ng nangyari, ay nag-aalis lamang ng isa sa mga espesyal na kaso at madaling maiiwasan. Noong Enero, iniulat din ang tungkol sa posibilidad ng pag-download ng Phar file sa ilalim ng pagkukunwari ng isang imahe at ipinakita kung paano maaaring gamitin ang kumbinasyon ng dalawang kahinaan upang ikompromiso ang mga online na tindahan. Sa katapusan ng Marso sa Magento 2.3.1,
Inayos ng 2.2.8 at 2.1.17 ang problema sa mga Phar file, ngunit nakalimutan ang pag-aayos ng XSS, kahit na sarado ang issue ticket. Noong Abril, ipinagpatuloy ang pag-parse ng XSS at naayos ang isyu sa mga release na 2.3.2, 2.2.9, at 2.1.18.
Dapat tandaan na ang mga release na ito ay nag-aayos din ng 75 mga kahinaan, 16 sa mga ito ay na-rate bilang kritikal, at 20 mga isyu ay maaaring humantong sa PHP code execution o SQL substitution. Karamihan sa mga kritikal na problema ay maaari lamang gawin ng isang authenticated user, ngunit tulad ng ipinapakita sa itaas, ang mga authenticated na operasyon ay madaling makamit gamit ang mga vulnerabilities ng XSS, kung saan ilang dosena ang na-patched sa mga nabanggit na release.
Pinagmulan: opennet.ru