60 miliardów dolarów, Magento i nieuwierzytelnione wykonanie kodu w popularnej platformie e-commerce

18 maja 2016, 20:29 | W biegu | komentarze 2
Tagi: ,
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Jeśli ktoś jeszcze nie zna platformy Magento, krótki opis ze strony Natanela Rubina, osoby która znalazła w tym popularnym systemie e-commerce, co najmniej dwie krytyczne podatności:

Magento is an extremely popular eCommerce platform with a 30% share in the eCommerce market.

It is used by major corporations, such as Samsung, Nike and Lenovo, and by small online merchants alike. All in all, Magento is used in 250,000 online shops, handling approximately 60 Billion dollars a year.

Tutaj znajdziecie niezmiernie szczegółowy opis podatności klasy RCE (krytyczność została oszacowana w obu przypadkach na 9.8 na 10 – CVSSv3).

Opis jednej z nich mówi sam za siebie…: „Unauthenticated reinstallation leading to remote code execution”.

Podatne wersje: Magento CE and EE prior to 2.0.6

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. diwi

    Podatność dotyczy wyłącznie Magento w wersji 2. Pierwsza stabilna wersja jest datowana na listopad 2015. Na ten moment nie ma jeszcze zbyt wielu wdrożeń produkcyjnych. 60 miliardów dolarów dotyczy transakcji realizowanych w oparciu o Magento 1!

    Odpowiedz
    • To 1:1 cytat z wpisu człowieka, który znalazł podatności.

      Co do wersji to bym jeszcze poczekał – sam producent pisze: „Products affected: Magento CE and EE prior to 2.0.6”, choć w drugim bugu piszą „Products affected: Magento CE and EE 2.0.6”, ale 2.0.6 to właśnie wersja która łata całość.

      Odpowiedz

Odpowiedz

Time limit is exhausted. Please reload CAPTCHA.