12px13px15px17px
Дата:15/04/17

Критическая уязвимость в Magento ставит под угрозу 200 тыс. интернет-магазинов

Специалисты компании DefenseCode предупреждают о серьезной уязвимости в популярной версии открытой платформы для организации электронной коммерции Magento Community Edition. Проблема позволяет удаленно выполнить произвольный код и полностью скомпрометировать систему, включая базу данных, содержащую конфиденциальные сведения клиентов, в том числе номера кредитных карт и другую платежную информацию.

Уязвимость затрагивает версии Magento Community Edition 2.1.6 и ниже. Исследователи проинформировали разработчика о проблеме еще в ноябре 2016 года. С тех пор компания выпустила четыре обновления, однако так и не исправила уязвимость. В настоящее время специалистам неизвестно о случаях эксплуатации данной проблемы, но, учитывая, сколько времени она остается неисправленной, риск достаточно высок. По словам экспертов, уязвимость может также затрагивать коммерческую версию Magento Enterprise, поскольку в основе обеих платформ лежит один и тот же уязвимый исходный код.

Проблема связана с функцией Magento Community Edition, позволяющей администраторам добавлять видеоролики Vimeo в описания продуктов, а точнее изображение-preview со ссылкой на само видео. В случае, когда web-адрес изображения указывает на другой файл (например, PHP), приложение ответит сообщением об ошибке, но, тем не менее, загрузит его для проверки. Если файл не является изображением, приложение выдаст предупреждение о неверном формате файла, однако не удалит его, сообщает securitylab.ru.




Просмотры: 326

При использовании ссылка на ictnews.az обязательна

Facebook Google Favorites.Live BobrDobr Delicious Twitter Propeller Diigo Yahoo Memori MoeMesto

Похожие новости

Американцы обвиняют Cisco в пособничестве интернет-цензуре в Китае
Интернет-атаки будут приравниваться к военным действиям
МВФ подвергся серьезной атаке хакеров
Пользователи Firefox могут стать жертвой новой мошеннической схемы
Хакеры устанавливают на компьютеры опасное ПО
В Турции арестовали более 30 хакеров из Anonymous
Хакеры взломали внутреннюю сеть Сената США
В Германии сегодня открылся Национальный центр киберзащиты
Lulz Security атаковали сайт подразделения британской полиции
Мобильные телефоны выявят проблемы с сердцем
Хакеры из Lulz Sec объявили о прекращении деятельности
Хакеры взломали Twitter телеканала Fox News и написали о смерти Обамы
Ключевой член хакерской группы LulzSec дал эксклюзивное интервью журналу New Scientist
В Италии задержаны 15 участников хакерской группы Anonymous
Объем спама по электронной почте уменьшился в пять раз






29 Март 2024

28 03 2024