Разработчики CMS Magento подготовили патч, который устраняет серьезный баг в платформе для электронной коммерции. Как следует из бюллетеня безопасности, уязвимость позволяет злоумышленнику установить на целевой веб-ресурс вредоносный инжект и выполнить его. Пользователям затронутых систем рекомендуют немедленно установить обновление, а также проверить сайты на наличие сторонних скриптов.

Патч для критического бага в Magento

Обновление устраняет уязвимость CVE-2019-8144 в Magento Commerce 2.3.1 и 2.3.2, а также в ранних версиях расширения Page Builder. Недостаток связан с проблемами в реализации методов предварительного просмотра Page Builder и позволяет неавторизованному злоумышленнику дистанционно загрузить на страницы интернет-магазина сторонние скрипты. Критический RCE-баг получил от специалистов максимальный рейтинг по шкале CVSS — 10 баллов.

Месяцем ранее разработчики закрыли эту проблему выпуском Magento 2.2.10 и 2.3.3 для веток Open Source и Commerce, а также специальным обновлением версии 2.3.2-p1 до 2.3.2-p2.

Нынешний патч предназначен для тех, кто по каким-либо причинам не может перейти на актуальные релизы системы. Обновление затрагивает только платную линейку продуктов Magento; для сайтов, работающих на устаревших сборках некоммерческого движка, заплатки не предусмотрены.

Побочные эффекты обновления Magento

Разработчики отмечают, что обновление закрывает уязвимость, но не устраняет результаты ее эксплуатации. Если злоумышленники успели воспользоваться багом и внедрить свой скрипт на сайт, администраторам необходимо удалить его самостоятельно. Создатели системы рекомендуют провести тщательный аудит веб-ресурса, чтобы исключить наличие вредоносных инжектов.

Установка патча сделает невозможным редактирование отдельных шаблонов электронной почты в Magento 2.3.1, однако эта функция по-прежнему будет доступна при обращении к ним из сетки этих объектов.

Пользователям облачного варианта платформы устанавливать патч не нужно — Magento Commerce Cloud получила обновления в автоматическом режиме. Разработчики предупреждают, что администраторам системы будут недоступны страницы предварительного просмотра товаров, блоков и динамических блоков, но обещают восстановить эту возможность в ближайшее время.

Уязвимость не затронула сайты, работающие на Magento 1.x, однако пользователи предыдущей версии платформы вскоре столкнутся с более серьезной проблемой. В июне 2020 года разработчики намерены прекратить поддержку устаревших релизов и не выпускать обновления безопасности для них. По разным подсчетам, на актуальную версию движка все еще не перешли от 200 тыс. до 240 тыс. веб-ресурсов.

Категории: Главное, Кибероборона, Уязвимости