Сайты на Magento находятся под активной атакой из-за бага SQL-инъекции

Злоумышленники активно эксплуатируют уязвимость SQL-инъекции в популярной платформе для электронной коммерции — Magento. Для этой бреши уже готовы соответствующие патчи, так что владельцам сайтов, использующих Magento, необходимо установить их.

Уязвимость до сих пор не имеет собственного номера CVE, однако команда безопасности Magento присвоила ей следующий идентификатор — PRODSECBUG-2198.

«Не прошедший аутентификацию пользователь может выполнить произвольный код, используя уязвимость SQL-инъекции. Это приводит к утечке конфиденциальных данных», — сообщили разработчики.

Баг затрагивает версии Magento Open Source до 1.9.4.1, Magento Commerce до 1.14.4.1, Magento 2.1 до 2.1.17, Magento 2.2 до 2.2.8 и Magento 2.3 до 2.3.1.

Представители Magento настоятельно рекомендуют установить вышедшие обновления, которые уберегут ваш сайт от атак злоумышленников.

PRODSECBUG-2198 обнаружил эксперт в области безопасности из компании Ambionics Чарльз Фол.