Баг, найденный в Magneto, ставит множество сайтов под угрозу взлома

Баг, найденный в Magneto, ставит множество сайтов под угрозу взлома

Сотни тысяч веб-сайтов, занимающихся реализацией товаров и услуг, подверглись риску атаки. Она может быть осуществлена с помощью недавно обнаруженной уязвимости в платформе Magneto e-commerce.

Ошибка, которая позволяет провести атаку методом хранимого межсайтового скриптинга (stored XSS), присутствует практически во всех версиях Magento до 1.9.2.3 и 1.14.2.3. Как заявили исследователи фирмы Sucuri, которая занимается безопасностью сайтов и обнаружила уязвимость, это даст злоумышленникам возможность внедрить вредоносный javascript код в форму регистрации клиентов. Magneto выполнит этот код от учетной записи администратора, делая возможным получить хакеру полный контроль над сервером.

Ошибка расположена внутри ядра Magneto, а точнее в коде интерфейса администратора. Если вы не пользуетесь WAF или сильно изменили панель администратора, вам грозит опасность. Осуществив XSS атаку, злоумышленник сможет создавать новые учетные записи администратора, получать приватную информацию о клиентах и т.д.

Похожие новости

Анонимный источник сообщил о серьезной проблеме в новом обновлении iPhone и iPad
Apple исправила уязвимость iOS 16.1 и iPadOS 16 высокой степени серьезности, которая давала хакерам возможность удаленно выполнять вредоносный код, запущенный
Новенькая уязвимость ставит все компы на Windows под угрозу
Профессионалы из программы «Инициатива нулевого дня» (Zero Day Initiative) от компании TrendMicro, отчитались о новейшей отысканной уязвимости нулевого дня в
Найдена уязвимость нулевого дня в Telegram
Исследователи «Лаборатории Касперского» поведали о уязвимости нулевого дня в Telegram, которая использовалась взломщиками для инфецирования ПК юзеров
Критические уязвимости, найденные в PhpStorm, требуют немедленного обновления программы
Те обновления, что недавно были опубликованы, исправляют критические уязвимости базовой платформы IntelliJ, а это почти десяток популярных IDE

Добавить комментарий

Нам важно знать ваше мнение. Оставьте свой отзыв или ответ

    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

Комментариев 1

  1. dark4dead
    dark4dead Офлайн 31 января 2016 23:34
    Самое интересное, что баг присутствует как в Опен соурс, так и в платной версии. Обидно наверно.
    Цитировать Ответить
Для полноценной работы с PHPBlog.info войдите на сайт с помощью социальных сетей:

Новые обсуждения на Форуме

Курилка

Купить инвертор в загородный дом

Планирую модернизировать систему электроснабжения загородного дома, так как часто случаются перебои с электричеством, особенно зимой. Слышал, что интеллектуальные МАП-инверторы могут стать отличным ре
dukai
Финансы

Re: Европейский эквайринг (мерчант)

Для проектов со средним заказом более 100 евро (эквивалент) возможен прием на банк счет. Не револют и не другой дистанционно открытый, а управляемый «живым» владельцем юр.
Acquireman
Курилка

Re: Помогите правильно подобрать sf

Подключал SFP модуль для своей сети. Обычно проверяю характеристики через официальные сайты производителей, чтобы не прогадать. Покупал в специализированном магазине, где предложили гарантию на товар.
Lovelas
Курилка

Re: Помогите правильно подобрать sf

Подключал SFP модуль для своей сети. Обычно проверяю характеристики через официальные сайты производителей, чтобы не прогадать. Покупал в специализированном магазине, где предложили гарантию на товар.
МистерБорщ