200 000 интернет-магазинов находятся под угрозой критической уязвимости в Magento

200 000 интернет-магазинов находятся под угрозой критической уязвимости в Magento

Уязвимость дает возможность удаленно выполнить произвольный код и полностью скомпрометировать систему. Под угрозой находятся базы с конфиденциальными данными клиентов, в том числе номера их кредитных карт.

Эксперты из компании DefenseCode предупреждают о серьезной уязвимости в популярной версии открытой платформы для организации электронной коммерции Magento Community Edition. Проблема затрагивает версии Magento Community Edition 2.1.6 и ниже. Разработчик осведомлен о проблеме с ноября 2016 года. С тех пор компания выпустила четыре обновления, однако данная уязвимость так и не была исправлена.

На сегодня специалисты еще не сталкивались с эксплуатацией данной проблемы, тем не менее, учитывая, сколько времени она остается неисправленной, с каждым днем риск становится все выше. По утверждению экспертов, уязвимость может также затрагивать коммерческую версию Magento Enterprise, так как в основе обеих платформ лежит один и тот же уязвимый исходный код.

Проблема связана с функцией Magento Community Edition, позволяющей администраторам добавлять видеоролики Vimeo в описания продуктов, а точнее изображение-preview со ссылкой на само видео. В случае, когда web-адрес изображения указывает на другой файл (например, PHP), приложение ответит сообщением об ошибке, но, тем не менее, загрузит его для проверки. Если файл не является изображением, приложение выдаст предупреждение о неверном формате файла, однако не удалит его.

Для выполнения произвольного кода злоумышленник для начала должен загрузить конфигурационный файл .htaccess, разрешающий запускать PHP, и, собственно, сам вредоносный PHP-скрипт.

Напрямую данная уязвимость не может быть проэксплуатирована, так как функция подключения видео требует аутентификации (опция «Add Secret Key to URLs» активирована по умолчанию). Злоумышленнику нужно иметь учетную запись на атакуемом сайте, причем для взлома права администратора не обязательны – достаточно обычной регистрации с низкими привилегиями.

Что ж, остается надеяться, что разработчик все же обратит внимание на эту проблему и наконец-то обеспечит всех приверженцев данной платформы соответствующим обновлением.

Источник http://www.securitylab.ru/