Специалисты обнаружили серьезную уязвимость в Magento

В популярной версии открытой eCommerce-платформы Magento Community Edition обнаружена серьезная уязвимость. По словам специалистов компании DefenseCode, она позволяет удаленно выполнить произвольный код и полностью скомпрометировать систему. 

Злоумышленники могут получить доступ к базе данных с номерами кредитных карт и другой платежной информацей. Проблема связана с функцией, позволяющей администраторам добавлять превью видеороликов Vimeo в описания продуктов. Если файл не является изображением, система предупредит о неверном формате, но не удалит файл. 

Чтобы выполнить произвольный код, злоумышленник должен загрузить конфигурационный файл .htaccess, разрешающий запускать PHP, и сам вредоносный PHP-скрипт. Данная уязвимость не может быть проэксплуатирована напрямую: нужно иметь учетную запись на атакуемом сайте.

Уязвимость затрагивает версии Magento Community Edition 2.1.6 и ниже. Специалисты рассказали о проблеме разработчикам еще в ноябре прошлого года, однако они до сих пор не исправили ошибку. Эксперты считают, что под угрозой может оказаться также коммерческая версию Magento Enterprise, так как в ее основе лежит тот же уязвимый исходный код.

В прошлом году число сайтов, на которых встречается вредоносный JavaScript-код, нацеленный на перехват платежной информации, возросло на 69%. Одним из способов распространения вредоносного ПО является «дыра» в движке электронной коммерции Magento.