Vulnerabilidade Crítica de Injeção Magento SQL Descoberta

Se o seu negócio de e-commerce on-line estiver passando pela plataforma Magento, você deve prestar atenção a essas informações.

A Magento divulgou ontem novas versões de seu software de gerenciamento de conteúdo para solucionar um total de 37 vulnerabilidades de segurança recém-descobertas.

De propriedade da Adobe desde meados de 2018, o Magento é uma das plataformas de sistema de gerenciamento de conteúdo mais popular (CMS) que alimenta 28% dos sites da Internet com mais de 250.000 comerciantes usando a plataforma de e-commerce de código aberto. Embora a maioria dos problemas relatados só possa ser explorada por usuários autenticados, uma das falhas mais graves no Magento é uma vulnerabilidade de SQL Injection, que pode ser explorada por invasores remotos não autenticados.

A falha, que não tem um ID CVE, mas internamente rotulado “PRODSECBUG-2198”, pode permitir que hackers remotos roubem informações confidenciais dos bancos de dados de sites de comércio eletrônico vulneráveis, incluindo sessões administrativas ou hashes de senhas que podem conceder acesso a hackers. painel de administração.

As versões do Magento afetadas incluem:

  • Magento Open Source antes de 1.9.4.1
  • Magento Commerce antes de 1.14.4.1
  • Magento Commerce 2.1 antes de 2.1.17
  • Magento Commerce 2.2 antes da 2.2.8
  • Magento Commerce 2.3 antes de 2.3.1

Como os sites do Magento não apenas armazenam informações dos usuários, mas também contêm histórico de pedidos e informações financeiras de seus clientes, a falha pode levar a ataques on-line catastróficos.

Dada a natureza sensível dos dados que os sites de e-commerce Magento lidam diariamente, assim como o risco que a vulnerabilidade SQL representa, os desenvolvedores do Magento decidiram não divulgar detalhes técnicos da falha.

Além da vulnerabilidade do SQLi, o Magento também corrigiu falsificação de solicitações entre sites (CSRF), cross-site scripting (XSS), execução remota de código (RCE) e outras falhas, mas a exploração da maioria dessas falhas requer que invasores sejam autenticados o site com algum nível de privilégios.

Os donos de lojas on-line devem atualizar seus sites de comércio eletrônico para as versões atualizadas, o mais rápido possível, antes que os hackers comecem a explorar a falha para comprometer seus sites e roubar detalhes do cartão de pagamento de seus clientes.