2017-04-17

Критическая уязвимость в Magento - опять 25

Обратил внимания на новость "Критическая уязвимость в Magento ставит под угрозу 200 тыс. интернет-магазинов" и сразу вспомнил волка из мультика с фразой "Шо?, Опять?"

Для пользователей Magento:
Отправь смс на короткий платный номер 900 с текстом "я не лох". Чем больше смс - тем больше ты "не лох"!
Проблема позволяет удаленно выполнить произвольный код и полностью скомпрометировать систему.

Специалисты компании DefenseCode предупреждают о серьезной уязвимости в популярной версии открытой платформы для организации электронной коммерции Magento Community Edition. Проблема позволяет удаленно выполнить произвольный код и полностью скомпрометировать систему, включая базу данных, содержащую конфиденциальные сведения клиентов, в том числе номера кредитных карт и другую платежную информацию.

Уязвимость затрагивает версии Magento Community Edition 2.1.6 и ниже. Исследователи проинформировали разработчика о проблеме еще в ноябре 2016 года. С тех пор компания выпустила четыре обновления, однако так и не исправила уязвимость. В настоящее время специалистам неизвестно о случаях эксплуатации данной проблемы, но, учитывая, сколько времени она остается неисправленной, риск достаточно высок. По словам экспертов, уязвимость может также затрагивать коммерческую версию Magento Enterprise, поскольку в основе обеих платформ лежит один и тот же уязвимый исходный код ...

Комментариев нет:

Отправить комментарий