Разработчики Magento выпустили пакет обновлений, который устраняет 37 уязвимостей в открытой и коммерческой версиях CMS. Спектр нейтрализованных угроз включает SQL-инъекции, межсайтовый скриптинг, удаленное выполнение кода (RCE) и компрометацию важных данных.

Четыре обнаруженные бреши получили девять и более баллов по шкале CVSS 3.0, что соответствует критическому уровню угрозы. Наибольшие опасения у экспертов вызывает RCE-уязвимость, позволяющая отправлять несанкционированные команды через SQL-инъекцию. Это единственная дыра, которой можно воспользоваться удаленно и без авторизации. Этот факт сильно влияет на ее вредоносный потенциал, хотя по количеству баллов эта брешь оказалась только на третьем месте.

«Такие атаки очень серьезны, поскольку их можно автоматизировать и значительно увеличить число жертв, — поясняют специалисты. — Кроме того, при реальной оценке опасности следует учитывать, как много сайтов работают с данной CMS, насколько легко применить метод и какого результата могут добиться успешные взломщики».

Две из трех оставшихся критических уязвимостей относятся к угрозам удаленного выполнения кода (9,8 и 9,1 балла), последняя совмещает возможность SQL-инъекции с межсайтовым скриптингом (9 баллов). Чтобы воспользоваться этими и остальными брешами, которые вошли в данный пакет обновлений, злоумышленнику потребуется учетная запись с разным уровнем привилегий, вплоть до администраторского.

Четыре проблемы безопасности эксперты оценили как «существенные» (7–8,9 балла по шкале CVSS 3.0). Три из них  создают возможность удаленного исполнения кода через ошибки десериализации PHP-файлов и подделку запросов веб-серверу. Еще одна брешь грозит утечками данных из-за возможности выполнить вредоносный PHP-файл в любой директории.

Уязвимости актуальны как для версии с открытым кодом, так и для коммерческой комплектации CMS Magento v. 2.1–2.1.16, v. 2.2–2.2.7 и  v. 2.3. Эксперты призывают веб-администраторов срочно установить данный пакет обновлений или настроить свой брандмауэр с учетом обнаруженных угроз.

В 2018 году злоумышленники активно атаковали сайты на базе Magento, используя как проблемы самой CMS, так и дыры стороннего ПО. Скачок вредоносной активности подтолкнул специалистов к созданию черного списка уязвимых расширений.

Категории: Уязвимости