Magento boshqarish tizimida ishlovchi Internet-doʻkon egalari yangilanishni iloji boricha tezda oʻrnatishlari tavsiya etiladi.
Magento Internet-xaridlarni boshqarish tizimida 300 000 ga yaqin saytni tahdid qiladigan zaiflik aniqlandi.
PRODSECBUG-2198 ning zaifligi SQL inyeksiyasiga avtorizatsiyasiz ruxsat etish imkonini beradi. Uning yordamida, tajovuzkor administrator hisobini masofadan boshqarishi, foydalanuvchi nomlarini va xeshlangan parollarni yuklab olish, ushbu xeshlarni buzib tashlashi mumkin. Keyin esa tajovuzkor bank kartasi maʼlumotlarini oʻgʻirlash uchun zaxira kirish imkonini yoki zararli kodni oʻrnatishi mumkin.
Magento komandasi bu zaiflik uchun tuzatishni ishlab chiqdi ammo Sucuri tadqiqotchilari patchiga ziddi-patchni amalga oshirib va PoC-eksploitni muvaffaqiyatli ishlab chiqishni uddaladilar. Ularga taʼkidlashiga koʻra, zaiflikni ishlatish juda oson, shuning uchun Magento boshqaradigan Internet-doʻkon egalari yangilanishni iloji boricha tezroq oʻrnatishni maslahat beradilar.
Muammo platformaning tijorat versiyasini va ochiq manba versiyasiga taʼsir qiladi va allaqachon Magento 2.1.17 / 2.2.8 / 2.3.1 versiyalarida tuzatilgan.
Zaiflik xavfi boʻlgani va haqiqiy hujumlarning yoʻqligi bois, tadqiqotchilar hozircha texnik tafsilotlarni chop etishga shoshmayaptilar.