В системе управления интернет-магазинами Magento обнаружена уязвимость, ставящая под угрозу порядка 300 тыс. сайтов.
Уязвимость PRODSECBUG-2198 позволяет осуществлять SQL-инъекции без какой-либо авторизации. С ее помощью злоумышленник может удаленно получить контроль над учетной записью администратора, загрузить имена и хешированные пароли пользователей и взломать хеши. Далее атакующий может установить бэкдор или вредоносный код для похищения данных банковских карт.
Команда Magento выпустила исправление для уязвимости, однако исследователям компании Sucuri удалось успешно осуществить реверс-инжиниринг патча и разработать PoC-эксплоит. По их словам, проэксплуатировать уязвимость очень легко, поэтому владельцам интернет-магазинов под управлением Magento рекомендуется как можно скорее установить обновление.
Проблема затрагивает как коммерческую версию платформы, так и версию с открытым исходным кодом и уже исправлена в выпусках Magento 2.1.17 / 2.2.8 / 2.3.1.
Учитывая опасность уязвимости и отсутствие реальных атак, исследователи пока воздерживаются от публикации технических подробностей.
Источник
Batafsil | Подробно | Read more... InfoCOM
Top News
-
Qirg‘iziston parlamenti oiladagi zo‘ravonlik uchun jazoni kuchaytirishga qarshi chiqdi.
Deputatlar qirg‘iz mentalitetini unutmaslikka chaqirib, qonun loyihasini qaytarib yuborishdi..
-
Контенинг "Наполи" билан шартномасидаги бир банд ойдинлашди
Антонио Конте "Наполи" билан шартнома имзолашга яқин турибди.
-
"МЮ" ва "Атлетико" ўзаро футболчи алмашиши мумкин
Мадриднинг “Атлетико” ва “Манчестер Юнайтед” клублари ёзги трансфер ойнасида футболчи алмашиши мумкин, деб хабар бермоқда...
-
Milliy mass-mediani qo‘llab-quvvatlash fondiga yangi rahbar tayinlandi.
Jurnalistika va kommunikatsiya sohasida tajribaga ega Jahongir Azimov Mass-media fondi direktori etib tayinlandi. .
-
Fiskal huquqbuzarlik sodir etganlik uchun qo‘llanadigan sanksiyalar miqdori kamaydi.
Fiskal huquqbuzarliklar realizatsiya amalga oshirilgan oxirgi hisobot choragida olingan sof tushum 2 foizi miqdorida jarima solishga sabab bo‘lishi...
-
О дополнительных мерах по обеспечению эффективности экспертного содействия при реализации структурных реформ
Постановление Президента Республики Узбекистан №ПП-198. Дата принятия 29.05.2024. Дата вступления в силу 30.05.2024