Обнаруженной уязвимости подвержены подвержены все продукты веток 1.x и 2.x

Кроме этого были незначительные доработки функиональности, а также включена поддержка PHP 7

Были выпущены новые версии 2.0.1 для ветки 2.0 Magento и 1.9.2.3 для версий 1.5-1.9.2

Для тех, кто не хочет делать глобальных обновлений доступны патчи безопасности SUPEE-7405 and SUPEE-7616

Magento 2.0.1 исправляет следующие уязвимости:

APPSEC-1263 - XSS уязвимость в поле имени пользователя. Из-за недостаточной фильтрации существовала возможность исполнять Javascript код, что в свою очередь может привести до кражи сессии администратора, исполнения произвольных действий в админке и т.п.

APPSEC-1247 - уязвимость бликировки кеша. При наличии каких либо привилегий пользователь мог получить доступ к кешу CMS, в котором хранятся такие важные данные как конфигурация, ключи шифрования, информация для подключения к базе данных. В редких случаях было даже возможно исполнение кода.

APPSEC-1239 -  XSS в комментариях заказа.  Уязвимость содержалась в модуле оплаты PayFlow Pro. Некорректно отфильтрованные данные сохранялись в админке (включая исполняемый Javascript код). При попытке администратором просмотреть заказ возможно исполнение произвольного кода для кражи сессии либо совершении каких-либо действий в админке.

APPSEC-1294 - SQL инъекция при навигации.  Blind SQL injection (Слепая SQL) позволяла получить имена или значения важных разделов базы данных

APPSEC-1270 - просмотр заказов для гостей имел уязвимость защитного кода. В свою очередь это может спровоцировать перебор заказов, и как результат вся информация о деятельности магазина может попасть в сторонние руки.

APPSEC-1267 - XSS в пользовательских опциях. При загрузке файла было допущено использование Javascript кода в названии файлов. Уязвимость давала возможность непривилегированному пользователю исполнять код в админке.

APPSEC-1268 - Редактирование или удаление отзывов. Атака не зависит от опции "Разрешить гостям оставлять отзывы". В результате некорректноё обработки входных параметров пользователь мог получить доступ для спама или полного удаления всех отзывов.

APPSEC-1283 - обход капчи. Капча защищает от перебора паролей. В результате уязвимости возможно повышение спама запросов или брутофорса.

APPSEC-1255 - XSS в хедере куков.  Magento отсылает неотфильтрованное значение cookies к веб серверу как часть запроса, и уязвимое значение возвращается обратно как часть формы. В результате возможно компрометация сайта ( к примеру редирект на сторонние сайты).

APPSEC-1212 - CSRF уязвимость при удалении покупок в корзине. Теоретически возможно удаление товаров при клике по ссылке с фейкового письма или подобного рода атаки.

APPSEC-1240 - Исполняемый код может быть сохранен в базе данных. Подробнее описано выше в уязвимости APPSEC-1239

APPSEC-1282 - Некорректный фильтр. Используется редко, поэтому уязвимость имеет низкий приоритет. Возможен обход фильтра при вводе HTML кода.

Дополнительно были решены следующие проблемы в версиях 1.9.2.3 и Magento Enterprise Edition 1.14.2.3:

APPSEC-1213 - XSS в адресе E-mail. При регистрации в магазине пользователь мог указать в поле Javascript код, который потом мог быть исполнен в админке. 

APPSEC-1260 - XSS в заказе. В ряде конфигураций Magento используется заголовок HTTP_X_FORWARDED_FOR для показа IP покупателя в админке. В следствие отсутствия должной фильтрации возможно исполнение Javascript кода при просмотре данного айпи, а следовательно и несанкционированный доступ к админке.

APPSEC-1171 - Раскрытие информации в RSS ленте. Можно было получить комментарии по заказам и другую личную информацию.

APPSEC-1206 - Токен CSRF не проверялся при авторизации в бекэнде.

APPSEC-1306 - возможность загрузки вредоносных файлов из админки. Сама по себе уязвимость не предоставляет опасности при отсутствии доступов посторонним в админку.

APPSEC-1179 - Cross-site Request Forgery (CSRF) на действия в админке.

APPSEC-1110 - Инъекция в формуле Exel при выгрузке (экспорте) xls или csv. Внимание! Эта модификация заменяет некоторые поля на пробелы, в результате некоторые данные могут выглядеть некорректно. Эту настройку можно отключить, однако это приведет к повышению рисков.

и некоторые другие малозначительные уязвимости. 

Настоятельно рекомендуется всем сайтам на Magento обновиться до новой версии или же установить патчи безопасности.

Добавить комментарий