Platforma de comert electronic Magento a primit saptamana aceasta un nou update critic de securitate care remediaza peste 20 de vulnerabilitati, inclusiv cateva critice care ar putea permite hackerilor sa compromita conturile administrative.
Una dintre aceste vulnerabilitati critice a fost descoperita in noiembrie de compania de securitate Sucuri si consta intr-o validare necorespunzatoare a adresei de e-mail pe care un utilizator o introduce atunci cand se inregistreaza pe un website Magento. Astfel, un hacker poate introduce un cod JavaScript in campul unde trebuie trecuta adresa de e-mail, declansand astfel un atac de tip cross-site scripting (XSS). Codul JavaScript este salvat impreuna cu formularul de inregistrare si este declansat in momentul in care contul utilizatorului inregistrat este afisat in interfata de administrare.
Un hacker ar putea exploata aceasta vulnerabilitate pentru a obtine acces administativ la magazinele virtuale vizate si pentru a efectua diverse operatiuni care in mod normal sunt limitate doar la conturile de admin. Potrivit Sucuri, vulnerabilitatea este similara cu cea identificata de companie anul trecut în plugin-ul Jetpack pentru WordPress.
Vulnerabilitatea afecteaza toate versiunile Magento Community Edition mai vechi de 1.9.2.3 si toate versiunile Magento Enterprise Edition mai vechi de versiunea 1.14.2.3. De asemenea, Magento a lansat saptamana trecuta o colectie de patch-uri numita SUPEE-7405, care poate fi aplicata versiunilor mai vechi.
Rugam toti clientii megahost.ro care folosesc Magento sa faca acest update critic de securitate cat mai repede posibil, deoarece site-urile Magento reprezinta o tinta preferata a hackerilor si exista cazuri cand acestia au incercat sa exploateze vulnerabilitati la mai putin de 24 de ore de la publicarea patch-urilor pentru acestea.
Sursa foto