Magento, популярная платформа электронной коммерции, используемая более чем 250 000 клиентами по всему миру, подвержена потенциально серьезной уязвимости, которая может быть использована для компрометации интернет-магазинов.
Брешь была обнаружена DefenseCode в ноябре, вендор сразу же сообщил о ней Magento через программу поиска уязвимостей Bugcrowd. На тот момент представители Magento сообщили, что им известно о наличии уязвимости, однако она до сих пор не исправлена. После безуспешных попыток получить от Magento обновленный статус проблемы, DefenseCode решила детали своей находки.
Уязвимость связана с функцией, которая позволяет пользователям добавлять видеоматериалы Vimeo. Когда видео добавляется, Magento автоматически извлекает изображение предварительного просмотра через запрос POST.
Этот метод запроса может быть изменен с POST на GET, что позволяет злоумышленнику провести атаку, подделать запрос (CSRF) и загрузить произвольный файл. Несмотря на то, что недопустимые файлы изображений запрещены, файл все равно сохраняется на сервере до его проверки.
Местоположение файла может быть легко определено, что позволяет хакеру загрузить на сервер вредоносный PHP-скрипт. Чтобы удаленно выполнить код, злоумышленнику также необходимо загрузить файл .htaccess в тот же каталог.
Для того чтобы атака сработала, хакеру необходимо убедить пользователя, имеющего доступ к панели администрирования магазина посетить специально созданную веб-страницу, которая запускает атаку CSRF.
Исследователи предупреждают, что успешная эксплуатация уязвимости может позволить злоумышленнику полностью контролировать целевую систему, в том числе получить доступ к конфиденциальной информации клиентов, хранящейся в базе данных взломанного магазина.
