Участники проекта Magento выпустили новый набор патчей для популярной e-commerce-платформы, устранив, в частности, две хранимые XSS-уязвимости, оцененные в 9,3 балла по шкале CVSS. Обе они доступны удаленно и позволяют исполнить вредоносный код на стороне сервера. Данных об активном эксплойте на настоящий момент нет, однако администраторам интернет-магазинов, использующих Magento, рекомендуется установить новейшую версию в кратчайшие сроки.

Одну из критических XSS обнаружили два с половиной месяца назад исследователи из Sucuri. По их свидетельству, эта уязвимость аналогична бреши, не так давно найденной ими в плагине Jetpack для WordPress. Небрежность санирования данных, введенных пользователем в регистрационную форму, открывает возможность для добавления вредоносного JavaScript в поле электронного адреса.

Этот код сохраняется вместе с заполненной формой и отрабатывает при просмотре заказа в админ-панели. Такой JavaScript можно использовать для угона сессии администратора или выполнения разных действий от его имени — к примеру, для создания нового аккаунта с правами администратора.

«Дефектный фрагмент кода расположен в наборе библиотек Magento, точнее говоря, в серверной системе администратора, — поясняет Марк-Александр Монпа (Marc-Alexandre Montpas) в блоге Sucuri. — Если не использовать брандмауэр веб-приложений (WAF) или сильно модифицированную панель администрирования, риски очень высоки».

XSS-уязвимость, обнаруженная Sucuri, присутствует во всех Magento CE (до релиза 1.9.2.2 включительно) и Magento EE (до 1.14.2.2). Эти же платформы, а также Magento 2.x подвержены другой критической XSS, связанной с недостаточной фильтрацией запросов. Атакующий может добавить к заказу комментарий с вредоносным JavaScript, который будет сохранен в базе данных и отработает на стороне сервера при просмотре заказа администратором.

Кроме этих крайне опасных уязвимостей в Magento были устранены еще 18 разных брешей.

Категории: Главное, Уязвимости