В системе управления интернет-магазинами Magento обнаружена уязвимость, ставящая под угрозу порядка 300 тыс. сайтов.
Уязвимость PRODSECBUG-2198 позволяет осуществлять SQL-инъекции без какой-либо авторизации. С ее помощью злоумышленник может удаленно получить контроль над учетной записью администратора, загрузить имена и хешированные пароли пользователей и взломать хеши. Далее атакующий может установить бэкдор или вредоносный код для похищения данных банковских карт.
Команда Magento выпустила исправление для уязвимости, однако исследователям компании Sucuri удалось успешно осуществить реверс-инжиниринг патча и разработать PoC-эксплоит. По их словам, проэксплуатировать уязвимость очень легко, поэтому владельцам интернет-магазинов под управлением Magento рекомендуется как можно скорее установить обновление.
Проблема затрагивает как коммерческую версию платформы, так и версию с открытым исходным кодом и уже исправлена в выпусках Magento 2.1.17 / 2.2.8 / 2.3.1.
Учитывая опасность уязвимости и отсутствие реальных атак, исследователи пока воздерживаются от публикации технических подробностей.
Источник
Batafsil | Подробно | Read more... InfoCOM
Top News
-
Rossiya Karib dengizida harbiy mashg‘ulotlar o‘tkazadi.
AP xabariga ko‘ra, Rossiya harbiy kemalari va samolyotlari yaqin haftalarda Karib dengiziga yetib boradi va yoz oxirigacha u yerda qoladi. Ularning...
-
Turkiyada doktorantura uchun o‘zbekistonliklarga stipendiyalar ta’sis etiladi.
O‘zbekistonlik yosh tadqiqotchilar uchun Turkiya universitetlari doktorantura bosqichida tahsil olishga stipendiyalar ajratilishi joriy yildan...
-
"Брайтон"ни немис мураббийи бошқариши мумкин
Фабиан Хёрцелер "Брайтон"ни бошқариши мумкин.
-
"Saraton va boshqa jiddiy kasalliklar bog‘chadagi sifatsiz taomlanishdan kelib chiqmoqda" - mutaxassis bilan suhbat.
Ayrim davlat bog‘chalari achinarli ahvolda ekani rasmiy minbar orqali tan olindi va tanqid qilindi. .
-
"Милан" учун Зиркзеени сотиб олиш қийин бўлмайди
Ҳамма нарса ҳужумчи Жошуа Зиркзеенинг ёзда "Болонья"дан "Милан"га кетиши томон бормоқда.
-
Bayden: Ukraina Moskvaga AQSh qurollari bilan hujum qila olmaydi.
AQSh Ukrainaga berilgan qurollardan Rossiya hududiga chegaradan uzoqroqqa zarba yo‘llash uchun foydalanishga ruxsat bermadi, dedi prezident Bayden..