Magento obsahuje 20 bezpečnostních chyb, aktualizujte dokud máte čas

Jedno z nejoblíbenějších řešení pro eshop Magento má v sobě několik kritických bezpečnostních děr. V ohrožení jsou tak miliony instalací po celém světě.

Všechny verze Magento CE starší 1.9.2.3 a verze Magento EE starší jak 1.14.2.3, urychleně aktualizujte. Hrozí totiž XSS útok pomocí Javascriptu, díky kterému může útočník kompletně ovládnout celý web.

Nejvážnější z bezpečnostních chyb umožňuje útočníkovi poslat škodlivý kód skrz nezabezpečený registrační formulář. Konkrétně není důkladně ošetřeno políčko s emailovou adresou. Útočník pomocí této zranitelnosti může ukrást session administrátora anebo spustit kód na dálku.

Druhá z nejnebezpečnějších chyb umožňuje uložit Javascript do databáze. Za určitých okolností může útočník přidat k objednávce speciálně upravený komentář, s kterým si správně neporadí zabezpečení modulu PayFlow Pro. Jakmile si někdo komentář zobrazí dojde ke spuštění javascript.

V patch SUPEE-7405 byly opraveny další 4 chyby, které jsou označeny jako velmi nebezpečné, 10 středně nebezpečných a 4 méně nebezpečné. Kompletní seznam všech bezpečnostních děr, včetně jejich hodnocení, najdete zde.

Podle společnosti Magento Inc. Není doposud známý žádný případ zneužití těchto bezpečnostních děr.

Magento v současnosti patří mezi nejvyhledávanější řešení pro eshop. Proto se také stává častým terčem útočníků. V porovnání s běžnými redakčními systémy, je pro útočníky eshop daleko zajímavější cíl, protože obsahuje velké množství osobních informací a občas i čísla kreditních karet. S aktualizací byste neměli zbytečně otálet a provést jí co nejdříve.

V současné době využívají Magento miliony uživatelů po celém světě. Na rozdíl od běžně používaných open source řešení jako WooComerce anebo Prestashop, má však vyšší požadavky na hosting. Například při instalaci je doporučený PHP memory limit 512 MB, což rozhodně u sdílených webhostingů, které pro jeho konkurenty stačí, není standardem. Provozovat se však dá i s memory limit 256 MB, proto některé společnosti nabízí jejich instalátor.

Share Button

Tento článek byl byl přečten 693 krát

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *