Для популярной системы управления контентом Magento были подготовлены срочные обновления безопасности. Патчи выпущены для ветки Magento 2.x, пользователям 1.x давно уже стоит задуматься о миграции своего магазина на современную версию. Выпуск включает в себя исправления 10 дыр таких как межсайтовый скриптинг (XSS), подключение локального файла (LFI), удаленное исполнение кода в административной части (RCE), произвольное удаление файлов.
Патчи и установщики доступны для скачивания, а пока детальнее рассмотрим найденные уязвимости:
- APPSEC-1325 - Межсайтовый скриптинг в биллинговых соглашениях - средний приоритет - уязвимы все версии Magento Open Source до 1.9.3.7, Magento Commerce до 1.14.3.7, Magento 2.0 до 2.0.17, Magento 2.1 до 2.1.10, Magento 2.2 до 2.2.1 - администратор с ограниченными привилегиями мог создать биллинговое соглашение со встроенными элементами межсайтового скриптинга XSS, что могло привести к полноценной атаке.
- APPSEC-1825 - Вставка в объект PHP в шаблоне email вызывало удаленное исполнение кода (RCE) - высокий приоритет - уязвимы все версии Magento 2.0 до 2.0.17, Magento 2.1 до 2.1.10, Magento 2.2 до 2.2.1 - администратор с ограниченными привилегиями мог вставить вредоносный код в шаблон почтового сообщения, создав при этом предпоссылки для удаленного исполнения кода RCE.
- APPSEC-1830 - Инъекция в объект PHP в атрибутах продукта делало возможным удаленное исполнение кода (RCE) - высокий приоритет - уязвимы все версии Magento Open Source до 1.9.3.7, Magento Commerce до 1.14.3.7, Magento 2.0 до 2.0.17, Magento 2.1 до 2.1.10, Magento 2.2 до 2.2.1 - администратор с ограниченными привилегиями мог добавить исполняемый код в атрибуты товара, в дальнейшем можно исполнять удаленно код PHP.
- APPSEC-1861 - Вставка в функцию PHP в полях продукта исполняло произвольный код (RCE) - высокий приоритет - уязвимы все версии Magento Open Source до 1.9.3.7, Magento Commerce до 1.14.3.7, Magento 2.0 до 2.0.17, Magento 2.1 до 2.1.10, Magento 2.2 до 2.2.1 - администратор с ограниченными правами мог добавить исполняемый код в промо поле, в дальнейшем запустить шелл.
- APPSEC-1881 - Инъекция в функцию PHP в скачиваемых продуктах запускало произвольный код (RCE) - высокий приоритет - уязвимы все версии Magento 2.0 до 2.0.17, Magento 2.1 до 2.1.10, Magento 2.2 до 2.2.1 - администратор с ограниченными правами мог добавить исполняемый код в скачиваемый товар, в дальнейшем эксплуатировать уязвимость в своих целях.
- APPSEC-1893 - Инъекция в объект PHP в метаданных осуществляло атаку удаленного исполнения кода (RCE) - высокий приоритет - уязвимы все версии Magento 2.0 до 2.0.17, Magento 2.1 до 2.1.10, Magento 2.2 до 2.2.1 - администратор с ограниченными правами мог добавить исполняемый код в характеристики товара, в дальнейшем получить полный контроль над сайтом.
- APPSEC-1900 - Remote Code Execution при использовании инпута нестандартной формы (RCE) - высокий приоритет - уязвимы все версии Magento 2.0 до 2.0.17, Magento 2.1 до 2.1.10, Magento 2.2 до 2.2.1 - администратор с ограниченными привилегиями создавал магазин с дальнейшими манипуляциями по исполнению удаленного кода.
- APPSEC-1910 - Подключение локального файла при импорте истории - средний приоритет - уязвимы все версии Magento 2.0 до 2.0.17, Magento 2.1 до 2.1.10, Magento 2.2 до 2.2.1 - при доступе в админку можно было удалить критические для системы файлы проверки для повышения своих полномочий при использовании секции импорта истории
- APPSEC-1930 - Инъекция в объект PHP в виджетах запускало атаку удаленного исполнения кода (RCE) - высокий приоритет - уязвимы все версии Magento 2.0 до 2.0.17, Magento 2.1 до 2.1.10, Magento 2.2 до 2.2.1 - злоумышленник с доступом в административную панель вставлял блок виджета, содержащий вредоносный код для дальнейшей эксплуатации уязвимости.
- APPSEC-1931 - Инъекция в объект PHP в Zend Framework приводило к произвольному удалению файлов - высокий приоритет - уязвимы все версии Magento 2.0 до 2.0.17, Magento 2.1 до 2.1.10, Magento 2.2 до 2.2.1 - администратор с ограниченными правами могу вставить опасный код, который мог удалить важный файл. На следующем этапе атаки можно после удаления необходимых файлов можно было исполнять произвольный код - RCE.
Все версии Magento получили патчи, закрывающие бреши в безопасности. Для более старых версий необходимо накатить обновления Magento Open Source 1.9.3.7, Magento Commerce 1.14.3.7, SUPEE-10415 для соответствующей сборки магазина.
Как мы видим, все атаки ограничены необходимостью иметь доступ к административной панели. Поэтому будьте блительны, когда доверяете доступ к сайту посторонним людям, даже ограниченная админка может привести к плачевным последствиям при использовании уязвимостей. И не забывайте вовремя обновлять свои интернет-магазины! Если у Вас возникают проблемы с обновлением Magento, пишите в комментариях или можете обратиться на платной основе в разделе услуг "Обновление CMS Joomla, Wordpress, Drupal"