Useita kriittisiä haavoittuvuuksia Magento verkkokauppa-alustassa
Haavoittuvuus6/2019
Magento verkkokauppa-alustan Commerce ja Open Source 2.3.1, 2.2.8 ja 2.1.17 versioissa on korjattu useita kriittisiä haavoittuvuuksia. Päivitykset korjaavat haavoittuvuuksia, joiden avulla hyökkääjä voi saada haluunsa luottamuksellista tietoa palvelusta ja sen käyttäjistä tai suorittaa haitallista ohjelmakoodia palvelimella.
Vakavin haavoittuvuus mahdollistaa SQL-injektiohyökkäyksen ilman palveluun kirjautumista. Haavoittuvuuden avulla hyökkääjä voi saada haltuunsa muun muassa käyttäjätietoja Magento verkkokauppa-alustan tietokannasta. Tietoturvayhtiö Sucurin mukaan (Ulkoinen linkki) haavoittuvuuden hyväksikäyttö on helppoa ja hyökkäyksen voi automatisoida. Tällöin rikolliset voivat murtautua jopa tuhansiin päivittämättömiin Magento verkkokauppoihin hyvinkin nopeasti. Hyökkäykselle ei tällä hetkellä ole julkista hyväksikäyttömenetelmää.
Muut haavoittuvuudet mahdollistavat kirjautuneena käyttäjänä muun muassa haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä sekä cross site scripting (XSS)-hyökkäykset.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
- Magento Commerce ja Open Source 2.1 ennen versiota 2.1.17
- Magento Commerece ja Open Source 2.2 ennen versiota 2.2.8
- Magento Commerce ja Open Source 2.3 ennen versiota 2.3.1
- Magento Open Source versiota 1.9.4.1 vanhemmat versiot
- Magento Commerce versiota1.14.4.1 vanhemmat versiot
Mistä on kysymys?
- Päivitä ohjelmisto korjattuun versioon valmistjan ohjeiden mukaisesti.
- SQL-injektiohaavoittuvuus on korjattu päivityksessä PRODSECBUG-2198 mutta valmistaja suosittelee päivittämään Magenton versioon 2.2.8 tai 2.3.1