Дата:15/04/17
Специалисты компании DefenseCode предупреждают о серьезной уязвимости в популярной версии открытой платформы для организации электронной коммерции Magento Community Edition. Проблема позволяет удаленно выполнить произвольный код и полностью скомпрометировать систему, включая базу данных, содержащую конфиденциальные сведения клиентов, в том числе номера кредитных карт и другую платежную информацию.
Уязвимость затрагивает версии Magento Community Edition 2.1.6 и ниже. Исследователи проинформировали разработчика о проблеме еще в ноябре 2016 года. С тех пор компания выпустила четыре обновления, однако так и не исправила уязвимость. В настоящее время специалистам неизвестно о случаях эксплуатации данной проблемы, но, учитывая, сколько времени она остается неисправленной, риск достаточно высок. По словам экспертов, уязвимость может также затрагивать коммерческую версию Magento Enterprise, поскольку в основе обеих платформ лежит один и тот же уязвимый исходный код.
Проблема связана с функцией Magento Community Edition, позволяющей администраторам добавлять видеоролики Vimeo в описания продуктов, а точнее изображение-preview со ссылкой на само видео. В случае, когда web-адрес изображения указывает на другой файл (например, PHP), приложение ответит сообщением об ошибке, но, тем не менее, загрузит его для проверки. Если файл не является изображением, приложение выдаст предупреждение о неверном формате файла, однако не удалит его, сообщает securitylab.ru.
Критическая уязвимость в Magento ставит под угрозу 200 тыс. интернет-магазинов
Специалисты компании DefenseCode предупреждают о серьезной уязвимости в популярной версии открытой платформы для организации электронной коммерции Magento Community Edition. Проблема позволяет удаленно выполнить произвольный код и полностью скомпрометировать систему, включая базу данных, содержащую конфиденциальные сведения клиентов, в том числе номера кредитных карт и другую платежную информацию.Уязвимость затрагивает версии Magento Community Edition 2.1.6 и ниже. Исследователи проинформировали разработчика о проблеме еще в ноябре 2016 года. С тех пор компания выпустила четыре обновления, однако так и не исправила уязвимость. В настоящее время специалистам неизвестно о случаях эксплуатации данной проблемы, но, учитывая, сколько времени она остается неисправленной, риск достаточно высок. По словам экспертов, уязвимость может также затрагивать коммерческую версию Magento Enterprise, поскольку в основе обеих платформ лежит один и тот же уязвимый исходный код.
Проблема связана с функцией Magento Community Edition, позволяющей администраторам добавлять видеоролики Vimeo в описания продуктов, а точнее изображение-preview со ссылкой на само видео. В случае, когда web-адрес изображения указывает на другой файл (например, PHP), приложение ответит сообщением об ошибке, но, тем не менее, загрузит его для проверки. Если файл не является изображением, приложение выдаст предупреждение о неверном формате файла, однако не удалит его, сообщает securitylab.ru.
Просмотры: 344
При использовании ссылка на ictnews.az обязательна
Похожие новости
- Американцы обвиняют Cisco в пособничестве интернет-цензуре в Китае
- Интернет-атаки будут приравниваться к военным действиям
- МВФ подвергся серьезной атаке хакеров
- Пользователи Firefox могут стать жертвой новой мошеннической схемы
- Хакеры устанавливают на компьютеры опасное ПО
- В Турции арестовали более 30 хакеров из Anonymous
- Хакеры взломали внутреннюю сеть Сената США
- В Германии сегодня открылся Национальный центр киберзащиты
- Lulz Security атаковали сайт подразделения британской полиции
- Мобильные телефоны выявят проблемы с сердцем
- Хакеры из Lulz Sec объявили о прекращении деятельности
- Хакеры взломали Twitter телеканала Fox News и написали о смерти Обамы
- Ключевой член хакерской группы LulzSec дал эксклюзивное интервью журналу New Scientist
- В Италии задержаны 15 участников хакерской группы Anonymous
- Объем спама по электронной почте уменьшился в пять раз
