Критическая уязвимость в Magento ставит под угрозу 200 тыс. интернет-магазинов
Эксперты из фирмы Defense Code говорят о том, что на текущий момент есть критическая уязвимость в известной ветке opensource движка для создания интернет магазинов Magento. Уязвимость дает возможность удаленного исполнения любого кода, что позволяет полностью украсть базу данных, которая содержит в себе различные критические для конфиденциальности сведения, например номера карточек и иную информацию по платежам.
Данная уязвимость касается версии «2.1.6» и тех, кто ниже. Эксперты сказали программистам CMS осенью прошлого года. С того времени было несколько обновлений, но не было исправления данной уязвимости. На текущий момент эксперты не знают об инцидентах, когда данная уязвимость была эксплуатирована кем то, однако с каждым часов риск все более возрастает. Как сообщают программисты, данный баг может быть и в платной версии Magento, так как по сути их объединяет общий исходный код.
Уязвимость привязана к функционалу, который дает возможность администраторам загружать видеозаписи из сервиса Vimeo в каталог продукции, а конкретнее превью-изображение с URL на видеозапись. Если расширение загружаемого файла отличается от допустимого, то Magento выдаст ошибку, но тем не менее произведет закачку файла. В случае если файл не является картинкой, то также будет выдана информация с ошибкой, но файл не будет удален.
Для того, чтобы исполнить любой код, хакер должен прогрузить htaccess файл с необходимыми командами для исполнения PHP, а затем должен загрузить непосредственно файл PHP.
Напрямую без регистрации данный баг нет возможности использовать ввиду того, что необходима авторизация для доступа к скрипту, однако иметь администраторский доступ также необязательно, достаточно обычной пользовательской регистрации с минимальным набором прав.
Заметили опечатку или ошибку? Выделите текст и нажмите Ctrl+Enter, чтобы сообщить нам о ней.
В 2018 году мир был потрясен новостью о загадочной находке в Антарктиде. Учёные из нескольких стран, включая США, Россию, Китай и Индию, обнаружили четыре черных саркофага, которые, несмотря на тусклое…
После сравнения проникающих глубоко в недра планеты волн землетрясений исследователи пришли к неожиданному выводу. Их исследования показали, что некоторые волны, которые ранее считались незначительными, на самом деле могут служить индикаторами…
С приближением Нового года каждая хозяйка с трепетом начинает готовиться к празднику. Одним из самых важных этапов является создание новогоднего меню, которое должно быть не только разнообразным, но и оригинальным….
Учёные предсказывают, что в 2025 году Земля столкнётся с рядом серьёзных природных вызовов. В последние годы планета всё чаще демонстрирует свою уязвимость перед стихийными бедствиями, такими как землетрясения, наводнения, извержения…