The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в платформе электронной коммерции Magento

17.02.2022 10:57

В открытой платформе для организации электронной коммерции Magento, которая занимает около 10% рынка систем для создания интернет-магазинов, выявлена критическая уязвимость (CVE-2022-24086), позволяющая выполнить код на сервере через отправку определённого запроса без прохождения аутентификации. Уязвимости присвоен уровень опасности 9.8 из 10.

Проблема вызвана некорректной проверкой поступивших от пользователя параметров в обработчике оформления заказа. Детали эксплуатации уязвимости пока не раскрываются, исправление сводится к очистке символов в параметрах запроса по регулярному выражению "/{{.*?}}/".

Уязвимость проявляется в выпусках с 2.3.3-p1 по 2.3.7-p2 и с 2.4.0 по 2.4.3-p1 включительно. Исправление доступно в форме патча (новые выпуски с исправлением пока не сформированы). Пользователям Magento рекомендуется срочно установить патч, так как в Сети уже зафиксированы отдельные случаи использования рассматриваемой уязвимости для совершения атак на интернет-магазины.

Дополнение: Исследователям из компании Positive Technologies удалось выяснить в чём суть уязвимости и подготовить рабочий эксплоит, позволяющий получить полный доступ к серверу с правами пользователя, под которым выполняется Magento. Дополнительно отмечается, что предложенный в патче метод защиты лишь устраняет частный случай проблемы и его можно обойти и атаковать систему другими способами, без указания заблокированных конструкций в запросе. В ответ компания Adobe выпустила новый вариант патча.



  1. Главная ссылка к новости (https://blog.sucuri.net/2022/0...)
  2. OpenNews: Критические уязвимости в платформе электронной коммерции Magento
  3. OpenNews: Релиз Messor, децентрализованной системы для обнаружения вторжений
  4. OpenNews: В платформе электронной коммерции Magento устранено 75 уязвимостей
  5. OpenNews: Проект Snuffleupagus развивает PHP-модуль для блокирования уязвимостей
  6. OpenNews: Более 5900 интернет-магазинов поражены вредоносным ПО для перехвата номеров кредитных карт
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/56714-magento
Ключевые слова: magento
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (20) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, полураспад (?), 11:07, 17/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > исправление сводится к очистке символов

    это что за костыль?

     
     
  • 2.3, Аноним (3), 11:28, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +30 +/
    Шел похапешник по $_REQUEST. Видит - eval() и include() простаивают без дела. Взял и выполнил пользовательские параметры как код.
     
     
  • 3.18, bugmenot (??), 13:53, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошая шутка :)
     
  • 3.28, Аноним (28), 11:33, 18/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А я всегда отправляю пользовательский ввод в eval, без всяких там фильтров. И да мои сервисы работают от root, меня не разу не ломали
     
  • 2.7, Аноним (7), 12:18, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Фильтрация входных данных это не костыль
     
     
  • 3.10, пох. (?), 13:16, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Фильтрация "ниправильных" символов - это именно костыль. Который выскальзывает и больно бьет по балде, причем каждый раз, проблема только что макаки - необучаемы.

     
  • 2.23, userd (ok), 16:29, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Судя по регулярному выражению какие-то сырые данные "протекают" в шаблонизатор и там могут выполняться как код. Template injection. Правильное исправление требует времени, поскольку нужно найти все проблемные места, а пока только простая затычка.
     
     
  • 3.24, . (?), 17:17, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, не ограничивать же данные допустимыми символами сразу на входе. Это не по пацански!

     

  • 1.2, InuYasha (??), 11:23, 17/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    >поступивших от пользователя параметров

    Что, опять страдания по типизации? ) Или отрицательное количество посчитали? :D

     
     
  • 2.19, пох. (?), 14:00, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Зачем, когда можно просто попытаться их выполнить как код? Вдруг там что хорошее?!

     

  • 1.4, Michael Shigorin (ok), 11:32, 17/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Дыркомагнито :(

    https://www.opennet.ru/keywords/magento.html

     
     
  • 2.5, Аноним (5), 11:38, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Дыркомагнито

    Классный злодей в людях-Х

     
     
  • 3.12, Дормидонт (?), 13:29, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В людях xxx разве что
     
     
  • 4.17, kusb (?), 13:43, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Люди xxy
     

  • 1.6, Аноним (6), 12:01, 17/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Подождите, я что-то не понял. Magento, Mageia, и Manjaro -- это разное?
     
     
  • 2.8, ryoken (ok), 12:51, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Угу. Даже не однофамильцы.
     
  • 2.9, Аноним (9), 12:59, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Сидели вместе.
     
  • 2.14, kusb (?), 13:40, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Есть ещё магнетто - движок для портала dcpp
     

  • 1.25, жявамэн (ok), 18:14, 17/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >php

    Ясна панятна.

     
     
  • 2.27, Аноним (27), 02:31, 18/02/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вот жабам бы не квакать)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру