Обнаруженной уязвимости подвержены подвержены все продукты веток 1.x и 2.x
Кроме этого были незначительные доработки функиональности, а также включена поддержка PHP 7
Были выпущены новые версии 2.0.1 для ветки 2.0 Magento и 1.9.2.3 для версий 1.5-1.9.2
Для тех, кто не хочет делать глобальных обновлений доступны патчи безопасности SUPEE-7405 and SUPEE-7616
Magento 2.0.1 исправляет следующие уязвимости:
APPSEC-1263 - XSS уязвимость в поле имени пользователя. Из-за недостаточной фильтрации существовала возможность исполнять Javascript код, что в свою очередь может привести до кражи сессии администратора, исполнения произвольных действий в админке и т.п.
APPSEC-1247 - уязвимость бликировки кеша. При наличии каких либо привилегий пользователь мог получить доступ к кешу CMS, в котором хранятся такие важные данные как конфигурация, ключи шифрования, информация для подключения к базе данных. В редких случаях было даже возможно исполнение кода.
APPSEC-1239 - XSS в комментариях заказа. Уязвимость содержалась в модуле оплаты PayFlow Pro. Некорректно отфильтрованные данные сохранялись в админке (включая исполняемый Javascript код). При попытке администратором просмотреть заказ возможно исполнение произвольного кода для кражи сессии либо совершении каких-либо действий в админке.
APPSEC-1294 - SQL инъекция при навигации. Blind SQL injection (Слепая SQL) позволяла получить имена или значения важных разделов базы данных
APPSEC-1270 - просмотр заказов для гостей имел уязвимость защитного кода. В свою очередь это может спровоцировать перебор заказов, и как результат вся информация о деятельности магазина может попасть в сторонние руки.
APPSEC-1267 - XSS в пользовательских опциях. При загрузке файла было допущено использование Javascript кода в названии файлов. Уязвимость давала возможность непривилегированному пользователю исполнять код в админке.
APPSEC-1268 - Редактирование или удаление отзывов. Атака не зависит от опции "Разрешить гостям оставлять отзывы". В результате некорректноё обработки входных параметров пользователь мог получить доступ для спама или полного удаления всех отзывов.
APPSEC-1283 - обход капчи. Капча защищает от перебора паролей. В результате уязвимости возможно повышение спама запросов или брутофорса.
APPSEC-1255 - XSS в хедере куков. Magento отсылает неотфильтрованное значение cookies к веб серверу как часть запроса, и уязвимое значение возвращается обратно как часть формы. В результате возможно компрометация сайта ( к примеру редирект на сторонние сайты).
APPSEC-1212 - CSRF уязвимость при удалении покупок в корзине. Теоретически возможно удаление товаров при клике по ссылке с фейкового письма или подобного рода атаки.
APPSEC-1240 - Исполняемый код может быть сохранен в базе данных. Подробнее описано выше в уязвимости APPSEC-1239
APPSEC-1282 - Некорректный фильтр. Используется редко, поэтому уязвимость имеет низкий приоритет. Возможен обход фильтра при вводе HTML кода.
Дополнительно были решены следующие проблемы в версиях 1.9.2.3 и Magento Enterprise Edition 1.14.2.3:
APPSEC-1213 - XSS в адресе E-mail. При регистрации в магазине пользователь мог указать в поле Javascript код, который потом мог быть исполнен в админке.
APPSEC-1260 - XSS в заказе. В ряде конфигураций Magento используется заголовок HTTP_X_FORWARDED_FOR для показа IP покупателя в админке. В следствие отсутствия должной фильтрации возможно исполнение Javascript кода при просмотре данного айпи, а следовательно и несанкционированный доступ к админке.
APPSEC-1171 - Раскрытие информации в RSS ленте. Можно было получить комментарии по заказам и другую личную информацию.
APPSEC-1206 - Токен CSRF не проверялся при авторизации в бекэнде.
APPSEC-1306 - возможность загрузки вредоносных файлов из админки. Сама по себе уязвимость не предоставляет опасности при отсутствии доступов посторонним в админку.
APPSEC-1179 - Cross-site Request Forgery (CSRF) на действия в админке.
APPSEC-1110 - Инъекция в формуле Exel при выгрузке (экспорте) xls или csv. Внимание! Эта модификация заменяет некоторые поля на пробелы, в результате некоторые данные могут выглядеть некорректно. Эту настройку можно отключить, однако это приведет к повышению рисков.
и некоторые другие малозначительные уязвимости.
Настоятельно рекомендуется всем сайтам на Magento обновиться до новой версии или же установить патчи безопасности.