14 сентября компания Magento, разрабатывающая одноименную систему управления интернет-магазинами, выпустила обновления для Magento Commerce и Magento Open Source, устраняющие многочисленные уязвимости, в частности, критически серьезную ошибку удаленного выполнения кода.

Суммарно обновления Magento 2.1.9 и 2.0.16 закрывают 35 брешей различной степени опасности. Среди них — одна критическая, получившая номер APPSEC-1800. Она позволяла администратору с ограниченными правами внедрять вредоносный код при создании новой CMS-страницы.

Также обновления затрагивают три уязвимости высокой степени риска (утечка информации, произвольное удаление и возможность исполнения вредоносного кода) и 28 ошибок средней степени опасности, среди которых XSS, CSRF, неавторизированные утечки данных, отказ доступа и возможность передать данные обо всех предыдущих заказах во время оформления нового.

Не оставили без внимания в Magento и две уязвимости низкой степени риска. С помощью одной из них (APPSEC-1709) можно было без труда получить электронную почту администратора, а вторая уязвимость (APPSEC-1495) позволяла редактировать поле заказа, не имея при этом права просмотра.

Некоторые из этих уязвимостей могли быть использованы злоумышленниками для получения информации о заказах, перенаправления пользователей на другой сайт,MitM-атаки, получения информации о прошлых заказах или повторного использования файлов cookie.

Важно отметить, что в случае 18 из 35 уязвимостей атака происходит изнутри, когда администратор самостоятельно наносит вред функционированию магазина. Именно поэтому владельцам торговых площадок самое время проверить списки администраторов и обновить программы.

Magento — одна из самых популярных открытых систем для организации электронной коммерции в сети, на которую приходятся около 30% рынка. На базе платформы создано более 100 тыс. интернет-магазинов, для нее существует более двух тысяч расширений от сторонних разработчиков, а сообщество проекта насчитывает около 375 тыс. участников.

Категории: Кибероборона, Уязвимости