Бизнес и экономика

Интернет-магазины на платформе Magento под угрозой

 

Разработчикам платформы для электронной коммерции Magento удалось исправить две уязвимости в программе. Однако миллионы интернет-магазинов все еще потенциально могут стать жертвами кибератаки, если в ближайшее время не обновят платформу до последней версии, сообщает psm7.com.

 

 

Хакеры могут получить контроль над сайтом, создать новые административные модули и украсть информацию о покупателях.

 

Ошибка XSS была найдена во всех платформах Magento Community Edition и Enterprise Edition до версии 1.9.2.3 и 1.14.2.3, соответственно. Эксперты Sucuri, обнаружившие ошибку, заявили, что хакеры могут использовать эту уязвимость, чтобы внедрить  вредоносный код в регистрационные формы клиентов.  Ошибка позволяет осуществить XSS-атаку путем добавления javascript-кода к адресу электронной почты, введенному на странице регистрации пользователя. Уязвимость существует из-за ошибки в одной из ключевых библиотек Magento, и может быть проявлена, когда администратор интернет-магазина просматривает размещенные пользователями заказы.

 

«Уязвимость находится в корневой библиотеке Magento, более конкретно в интерфейсе администратора», — объяснил консультант Sucuri.

 

Вторая ошибка существует из-за недостаточной фильтрации комментариев к заказу. Удаленный пользователь может вставить в поле комментария специально сформированный javascript-сценарий. Код будет выполнен в административной панели при попытке просмотра заказа.

 

Уязвимость затрагивает все версии Magento CE и EE до 2.0.1.

 

Источник: psm7.com

Статьи по Теме

Кнопка «Наверх»