Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
60 miliardów dolarów, Magento i nieuwierzytelnione wykonanie kodu w popularnej platformie e-commerce
Jeśli ktoś jeszcze nie zna platformy Magento, krótki opis ze strony Natanela Rubina, osoby która znalazła w tym popularnym systemie e-commerce, co najmniej dwie krytyczne podatności:
Magento is an extremely popular eCommerce platform with a 30% share in the eCommerce market.
It is used by major corporations, such as Samsung, Nike and Lenovo, and by small online merchants alike. All in all, Magento is used in 250,000 online shops, handling approximately 60 Billion dollars a year.
Tutaj znajdziecie niezmiernie szczegółowy opis podatności klasy RCE (krytyczność została oszacowana w obu przypadkach na 9.8 na 10 – CVSSv3).
Opis jednej z nich mówi sam za siebie…: „Unauthenticated reinstallation leading to remote code execution”.
Podatne wersje: Magento CE and EE prior to 2.0.6
–ms
Podatność dotyczy wyłącznie Magento w wersji 2. Pierwsza stabilna wersja jest datowana na listopad 2015. Na ten moment nie ma jeszcze zbyt wielu wdrożeń produkcyjnych. 60 miliardów dolarów dotyczy transakcji realizowanych w oparciu o Magento 1!
To 1:1 cytat z wpisu człowieka, który znalazł podatności.
Co do wersji to bym jeszcze poczekał – sam producent pisze: „Products affected: Magento CE and EE prior to 2.0.6”, choć w drugim bugu piszą „Products affected: Magento CE and EE 2.0.6”, ale 2.0.6 to właśnie wersja która łata całość.