未分割的漏洞暴露了玛顿在线商店到攻击
Magento电子商务平台中的一个未分割的漏洞可能允许黑客上传并在主持在线商店的Web服务器上上传和执行恶意代码。
来自安全咨询障碍的研究人员发现了缺陷,它位于一个检索Vimeo上托管的视频的预览图像的功能。此类视频可以添加到Magento中的产品列表中。
DefenSecode研究人员确定如果图像URL指向不同的文件,例如PHP脚本,Magento将下载该文件以验证它。如果文件不是图像,则该平台将返回“不允许的文件类型”错误,但赢取了“T实际上将其从服务器中删除。
一个攻击者可以访问利用此缺陷可以通过首先欺骗Magento来下载.htaccess配置文件,以下载下载目录中的PHP执行,然后下载恶意PHP文件本身。
在服务器上,PHP脚本可以充当后门,可以通过将浏览器指向它来从外部位置访问。例如,攻击者可以使用它来浏览服务器目录并从Magento的配置文件中读取数据库密码。这可以公开存储在数据库中的客户信息,在网上商店的情况下,可以非常敏感。
唯一的限制是,这种漏洞不能直接利用,因为视频链接功能需要认证。这意味着攻击者需要访问目标网站上的帐户,但这可以是较低特权的用户,不一定是管理员。
如果网站未打开“添加秘密密钥”选项,也可以容易地克服身份验证障碍物。此选项旨在防止跨站点请求伪造(CSRF)攻击,并默认启用。
CSRF是一种攻击技术,涉及强制用户浏览器在访问不同的时在网站上执行未经授权的请求。
“攻击可以在电子邮件或公共留言板中作为<img src = ...添加如<img src = ...“攻击者还可以使用用户使用社交工程来打开CSRF链接。”
这意味着只需单击电子邮件中的链接或访问专门制作的网页,在其浏览器中具有活动的Magento会话的用户可能会滥用危害网站的帐户。
DECENSECODE研究人员声称他们在11月份向Magento开发商报告了这些问题,而是从那时起,没有关于修补计划的信息。
自11月以来,Magento Community Edition(CE)的几个版本已被发布,最近一个星期二为2.1.6。根据DefenSecode,所有Magento CE版本都会继续脆弱,这是促使他们公开缺陷的原因。
“我们一直在积极调查报告的问题的根本原因,并不知道野外的攻击,”玛格托,监督电子商务平台的公司的公司,在一封电子商务的陈述中表示。“我们将在下一个补丁发布中解决这个问题,并继续始终如一地努力改善我们的保证程序。”
“强烈建议所有用户强制执行”添加秘密密钥到URL“,这使得CSRF攻击向量减轻了CSRF攻击向量”。“为了防止通过任意文件上传的远程代码执行,服务器应在受影响目录中禁止.htaccess文件。”
Magento由超过250,000多家在线零售商使用,使其成为黑客的有吸引力的目标。去年,研究人员发现了数以千计的基于Magento的在线商店,这些商店被妥协和感染了恶意代码,这些代码脱脂了支付卡详细信息。