Magento може да е далеч от популярността на WordPress в качеството си на CMS платформа, но факта, че към 2020, цели 12% от всички сайтове за електронна търговия в WWW са именно на основата на Magento е показателен за използването ѝ. По данни на Hostingtribunal, популярността на платформата в последните години расте скокообразно като броя на сайтовете на CMS-а са се увеличили двойно между 2017 и 2018.

Тази статистика прави от Magento все по-популярен обект на атаки от страна на различни хакерски групи. В последните години уеб ресурсите на основата на Magento страдат особено много от Magecart, метод на атака, сходен с този, който престъпниците осъществяват към банкомати и ATM устройства във физическия свят, известен като „скиминг“. Те с успех използват различни начини да компрометират даден уебресурс на основата на Magento, за да вградят JavaScript код, чрез който пресичат и крадат въвежданата финансова информация от потребителите на онлайн магазина. Един от разпространените методи за това е да използват дупка в Magento. Именно поради тази причина, ако сте администратор на Magento инсталация, трябва да си инсталирате новата версия на CMS системата, тъй като в нея биват адресирани сериозни проблеми.

Версия 2.3.4 на Magento запушва общо пет новооткрити думпки, като три от тях са с гриф „критични“. Макар и да не дават подробности за конкретните уязвимости, изглежда най-сериозната уязвимост тук е CVE-2020-3718, която позволява изпълнението на произволен код дистанционно и превземането на ресурса. Другите две критични уязвимости тук са CVE-2020-3719 и CVE-2020-3716, свързани съответно с възможността за изпълнението на SQL инжектиране и десериализацията на недоверена информация, посочват от Adobe.

С предишната версия на софтуера, Adobe (чиято собственост е Magento) представиха удобно решение, което да спести време на собственици на сайтове на основата на платформата чрез пакети с обновления, насочени единствено към запушване на дупки в защитата. Така, настоящите уязвимости, съществуващи във версиите преди 2.3.4 са включени вече в Patch 2.3.3.1 (Composer package 2.3.3-p1), но тук не са включени допълнителните нововъведения по отношение на заздравяването на защитата, които идват с пълния пач.

Заедно с това, Adobe информират, че от този месец нататък проблемите в сигурността ще бъдат документирани в специален бюлетин на компанията и вече няма да бъдат описвани в Magento Security Center. Компанията съобщава също, че с цел да се намали риска от изпълнение на зловреден код по отдалечен път, Custom Layout Update полето на CMS Page Edit, Category Edit и Product Edit страниците бива обърнато в селектор.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари