Баг, найденный в Magneto, ставит множество сайтов под угрозу взлома

Баг, найденный в Magneto, ставит множество сайтов под угрозу взлома

Сотни тысяч веб-сайтов, занимающихся реализацией товаров и услуг, подверглись риску атаки. Она может быть осуществлена с помощью недавно обнаруженной уязвимости в платформе Magneto e-commerce.

Ошибка, которая позволяет провести атаку методом хранимого межсайтового скриптинга (stored XSS), присутствует практически во всех версиях Magento до 1.9.2.3 и 1.14.2.3. Как заявили исследователи фирмы Sucuri, которая занимается безопасностью сайтов и обнаружила уязвимость, это даст злоумышленникам возможность внедрить вредоносный javascript код в форму регистрации клиентов. Magneto выполнит этот код от учетной записи администратора, делая возможным получить хакеру полный контроль над сервером.

Ошибка расположена внутри ядра Magneto, а точнее в коде интерфейса администратора. Если вы не пользуетесь WAF или сильно изменили панель администратора, вам грозит опасность. Осуществив XSS атаку, злоумышленник сможет создавать новые учетные записи администратора, получать приватную информацию о клиентах и т.д.

Похожие новости

Анонимный источник сообщил о серьезной проблеме в новом обновлении iPhone и iPad
Apple исправила уязвимость iOS 16.1 и iPadOS 16 высокой степени серьезности, которая давала хакерам возможность удаленно выполнять вредоносный код, запущенный
Новенькая уязвимость ставит все компы на Windows под угрозу
Профессионалы из программы «Инициатива нулевого дня» (Zero Day Initiative) от компании TrendMicro, отчитались о новейшей отысканной уязвимости нулевого дня в
Найдена уязвимость нулевого дня в Telegram
Исследователи «Лаборатории Касперского» поведали о уязвимости нулевого дня в Telegram, которая использовалась взломщиками для инфецирования ПК юзеров
Критические уязвимости, найденные в PhpStorm, требуют немедленного обновления программы
Те обновления, что недавно были опубликованы, исправляют критические уязвимости базовой платформы IntelliJ, а это почти десяток популярных IDE

Добавить комментарий

Нам важно знать ваше мнение. Оставьте свой отзыв или ответ

    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

Комментариев 1

  1. dark4dead
    dark4dead Офлайн 31 января 2016 23:34
    Самое интересное, что баг присутствует как в Опен соурс, так и в платной версии. Обидно наверно.
    Цитировать Ответить
Для полноценной работы с PHPBlog.info войдите на сайт с помощью социальных сетей:

Новые обсуждения на Форуме

Курилка

Re: доставка грузов из китая в укра

Добрый день. Заказывал майнинг фермы в китае и оборудование благодаря https://rndtrading.ru/oborudovanie-dlya-majninga-iz-kitaya/, которую рекомендую. Поставки оригинальных комплектующих из Китая могу
Vanya_vanya
Курилка

Re: Надежное грузоподъемное оборудо

Спасибо за рекомендацию ТОО Крановые компоненты! Я пока не заходил на их сайт, но обязательно планирую это сделать. Какие особенности кранов они предлагают для работы в сложных
slemenn
Курилка

Заказать 3d графику в Global Scale

Трёхмерная графика сегодня — это не просто модный тренд, а мощный маркетинговый инструмент, который помогает компаниям обойти конкурентов. С помощью 3D-анимации от Global Scale https://globalscale.ru/
slemenn
Курилка

Re: Нужно купить провода для электр

Решив построить дачу, мы столкнулись с задачей обеспечить качественную электропроводку. Найти надежного поставщика оказалось непросто, пока не наткнулись на компанию "Серталит". Они быстро помогли про
slemenn