Критическая уязвимость в Magento ставит под угрозу 200 тыс. интернет-магазинов
Эксперты из фирмы Defense Code говорят о том, что на текущий момент есть критическая уязвимость в известной ветке opensource движка для создания интернет магазинов Magento. Уязвимость дает возможность удаленного исполнения любого кода, что позволяет полностью украсть базу данных, которая содержит в себе различные критические для конфиденциальности сведения, например номера карточек и иную информацию по платежам.
Данная уязвимость касается версии «2.1.6» и тех, кто ниже. Эксперты сказали программистам CMS осенью прошлого года. С того времени было несколько обновлений, но не было исправления данной уязвимости. На текущий момент эксперты не знают об инцидентах, когда данная уязвимость была эксплуатирована кем то, однако с каждым часов риск все более возрастает. Как сообщают программисты, данный баг может быть и в платной версии Magento, так как по сути их объединяет общий исходный код.
Уязвимость привязана к функционалу, который дает возможность администраторам загружать видеозаписи из сервиса Vimeo в каталог продукции, а конкретнее превью-изображение с URL на видеозапись. Если расширение загружаемого файла отличается от допустимого, то Magento выдаст ошибку, но тем не менее произведет закачку файла. В случае если файл не является картинкой, то также будет выдана информация с ошибкой, но файл не будет удален.
Для того, чтобы исполнить любой код, хакер должен прогрузить htaccess файл с необходимыми командами для исполнения PHP, а затем должен загрузить непосредственно файл PHP.
Напрямую без регистрации данный баг нет возможности использовать ввиду того, что необходима авторизация для доступа к скрипту, однако иметь администраторский доступ также необязательно, достаточно обычной пользовательской регистрации с минимальным набором прав.
Заметили опечатку или ошибку? Выделите текст и нажмите Ctrl+Enter, чтобы сообщить нам о ней.
Солнечная активность проявляет себя необычайно высокой интенсивностью, принося неожиданные испытания. Недавние космические наблюдения обнаружили колоссальную солнечную вспышку, отмеченную как самая значительная в текущем цикле активности. Это событие может привести к…
Нефтепроводчики привели в порядок памятники воинам Великой Отечественной войны, поздравляли ветеранов и участвовали в торжественно-траурных церемониях. День Победы остается одним из главных праздников для всех россиян. Традиционно в преддверии 9…
В то время как май и январь обычно радуют нас продолжительными выходными, большинство других месяцев не предоставляют таких же возможностей для отдыха. Июнь 2024 года не станет исключением из этого…
В России отключение горячей воды в мае — это ежегодная процедура, необходимая для планового техобслуживания водопроводной системы. Графики отключений в этом году были опубликованы изданием «Известия» для Москвы и Санкт-Петербурга….