Мир: В Magento eCommerce устранена критическая уязвимость

1

Как сообщают разработчики Magento eCommerce (принадлежит eBay), в платформе была устранена критическая уязвимость, позволяющая потенциальным злоумышленникам выполнить произвольный код на использующем платформу сервере. Информация о бреши была раскрыта в понедельник, 20 апреля. По предварительным оценкам, она затрагивает не менее 200 тыс. интернет-магазинов, подвергая при этом риску компрометации личные данные всех пользователей этих ресурсов.

Эксплуатация бреши, по словам экспертов, позволяет атакующим получить доступ к номеру кредитной карты, а также к другой “финансовой и просто конфиденциальной информации”. Стоит также отметить, что для успешной атаки необходимо проэксплуатировать несколько уязвимостей. Так, по словам исследователя Нетанеля Рубина (Netanel Rubin) из Check Point Software Technologies, одна из необходимых для этого брешей была устранена еще в феврале этого года. Комбинированное применение эксплоитов для нескольких ошибок, по данным исследователя, позволяет злоумышленникам выполнить произвольный PHP-код на web-сервере, обойти механизмы безопасности и получить полный административный контроль над системой. (Magento/NovostIT)