Критическая уязвимость в Magento ставит под угрозу 200 тыс. интернет-магазинов
Эксперты из фирмы Defense Code говорят о том, что на текущий момент есть критическая уязвимость в известной ветке opensource движка для создания интернет магазинов Magento. Уязвимость дает возможность удаленного исполнения любого кода, что позволяет полностью украсть базу данных, которая содержит в себе различные критические для конфиденциальности сведения, например номера карточек и иную информацию по платежам.
Данная уязвимость касается версии «2.1.6» и тех, кто ниже. Эксперты сказали программистам CMS осенью прошлого года. С того времени было несколько обновлений, но не было исправления данной уязвимости. На текущий момент эксперты не знают об инцидентах, когда данная уязвимость была эксплуатирована кем то, однако с каждым часов риск все более возрастает. Как сообщают программисты, данный баг может быть и в платной версии Magento, так как по сути их объединяет общий исходный код.
Уязвимость привязана к функционалу, который дает возможность администраторам загружать видеозаписи из сервиса Vimeo в каталог продукции, а конкретнее превью-изображение с URL на видеозапись. Если расширение загружаемого файла отличается от допустимого, то Magento выдаст ошибку, но тем не менее произведет закачку файла. В случае если файл не является картинкой, то также будет выдана информация с ошибкой, но файл не будет удален.
Для того, чтобы исполнить любой код, хакер должен прогрузить htaccess файл с необходимыми командами для исполнения PHP, а затем должен загрузить непосредственно файл PHP.
Напрямую без регистрации данный баг нет возможности использовать ввиду того, что необходима авторизация для доступа к скрипту, однако иметь администраторский доступ также необязательно, достаточно обычной пользовательской регистрации с минимальным набором прав.