Патчи безопасности Magento 2.2.1/2.1.10/2.0.17

Подробности

Для популярной системы управления контентом Magento были подготовлены срочные обновления безопасности. Патчи выпущены для ветки Magento 2.x, пользователям 1.x давно уже стоит задуматься о миграции своего магазина на современную версию. Выпуск включает в себя исправления 10 дыр таких как межсайтовый скриптинг (XSS), подключение локального файла (LFI), удаленное исполнение кода в административной части (RCE), произвольное удаление файлов.

Критическое обновление безопасности Magento 2.2.1, 2.1.10, 2.0.17
Критическое обновление безопасности Magento 2.2.1, 2.1.10, 2.0.17

Патчи и установщики доступны для скачивания, а пока детальнее рассмотрим найденные уязвимости:

  • APPSEC-1325 - Межсайтовый скриптинг в биллинговых соглашениях - средний приоритет - уязвимы все версии Magento Open Source до 1.9.3.7, Magento Commerce до 1.14.3.7, Magento 2.0 до 2.0.17, Magento 2.1 до 2.1.10, Magento 2.2 до 2.2.1 - администратор с ограниченными привилегиями мог создать биллинговое соглашение со встроенными элементами межсайтового скриптинга XSS, что могло привести к полноценной атаке.
  • APPSEC-1825 - Вставка в объект PHP в шаблоне email вызывало удаленное исполнение кода (RCE) - высокий приоритет - уязвимы все версии Magento 2.0 до 2.0.17, Magento 2.1 до 2.1.10, Magento 2.2 до 2.2.1 - администратор с ограниченными привилегиями мог вставить вредоносный код в шаблон почтового сообщения, создав при этом предпоссылки для удаленного исполнения кода RCE.
  • APPSEC-1830 - Инъекция в объект PHP в атрибутах продукта делало возможным удаленное исполнение кода (RCE) - высокий приоритет - уязвимы все версии Magento Open Source до 1.9.3.7, Magento Commerce до 1.14.3.7, Magento 2.0 до 2.0.17, Magento 2.1 до 2.1.10, Magento 2.2 до 2.2.1 - администратор с ограниченными привилегиями мог добавить исполняемый код в атрибуты товара, в дальнейшем можно исполнять удаленно код PHP.
  • APPSEC-1861 - Вставка в функцию PHP в полях продукта исполняло произвольный код (RCE) - высокий приоритет - уязвимы все версии Magento Open Source до 1.9.3.7, Magento Commerce до 1.14.3.7, Magento 2.0 до 2.0.17, Magento 2.1 до 2.1.10, Magento 2.2 до 2.2.1 - администратор с ограниченными правами мог добавить исполняемый код в промо поле, в дальнейшем запустить шелл.
  • APPSEC-1881 - Инъекция в функцию PHP в скачиваемых продуктах запускало произвольный код (RCE) - высокий приоритет - уязвимы все версии Magento 2.0 до 2.0.17, Magento 2.1 до 2.1.10, Magento 2.2 до 2.2.1 - администратор с ограниченными правами мог добавить исполняемый код в скачиваемый товар, в дальнейшем эксплуатировать уязвимость в своих целях.
  • APPSEC-1893 - Инъекция в объект PHP в метаданных осуществляло атаку удаленного исполнения кода (RCE) - высокий приоритет - уязвимы все версии Magento 2.0 до 2.0.17, Magento 2.1 до 2.1.10, Magento 2.2 до 2.2.1 - администратор с ограниченными правами мог добавить исполняемый код в характеристики товара, в дальнейшем получить полный контроль над сайтом.
  • APPSEC-1900 - Remote Code Execution при использовании инпута нестандартной формы (RCE) - высокий приоритет - уязвимы все версии Magento 2.0 до 2.0.17, Magento 2.1 до 2.1.10, Magento 2.2 до 2.2.1 - администратор с ограниченными привилегиями создавал магазин с дальнейшими манипуляциями по исполнению удаленного кода.
  • APPSEC-1910 - Подключение локального файла при импорте истории - средний приоритет - уязвимы все версии Magento 2.0 до 2.0.17, Magento 2.1 до 2.1.10, Magento 2.2 до 2.2.1 - при доступе в админку можно было удалить критические для системы файлы проверки для повышения своих полномочий при использовании секции импорта истории
  • APPSEC-1930 - Инъекция в объект PHP в виджетах запускало атаку удаленного исполнения кода (RCE) - высокий приоритет - уязвимы все версии Magento 2.0 до 2.0.17, Magento 2.1 до 2.1.10, Magento 2.2 до 2.2.1 - злоумышленник с доступом в административную панель вставлял блок виджета, содержащий вредоносный код для дальнейшей эксплуатации уязвимости.
  • APPSEC-1931 - Инъекция в объект PHP в Zend Framework приводило к произвольному удалению файлов - высокий приоритет - уязвимы все версии Magento 2.0 до 2.0.17, Magento 2.1 до 2.1.10, Magento 2.2 до 2.2.1 -  администратор с ограниченными правами могу вставить опасный код, который мог удалить важный файл. На следующем этапе атаки можно после удаления необходимых файлов можно было исполнять произвольный код - RCE.

Все версии Magento получили патчи, закрывающие бреши в безопасности. Для более старых версий необходимо накатить обновления Magento Open Source 1.9.3.7, Magento Commerce 1.14.3.7, SUPEE-10415 для соответствующей сборки магазина.

Как мы видим, все атаки ограничены необходимостью иметь доступ к административной панели. Поэтому будьте блительны, когда доверяете доступ к сайту посторонним людям, даже ограниченная админка может привести к плачевным последствиям при использовании уязвимостей. И не забывайте вовремя обновлять свои интернет-магазины! Если у Вас возникают проблемы с обновлением Magento, пишите в комментариях или можете обратиться на платной основе в разделе услуг "Обновление CMS Joomla, Wordpress, Drupal"

Добавить комментарий