Критическая брешь в Magento позволяла удаленно выполнить код на сервере
Главная » Новости

Критическая брешь в Magento позволяла удаленно выполнить код на сервере

Татьяна Никитина 16 Октября 2020 - 13:35
...
Критическая брешь в Magento позволяла удаленно выполнить код на сервере

Компания Adobe залатала девять новых дыр в платформе Magento, на которой работают многие интернет-магазины. Две уязвимости оценены как критические: одна позволяет удаленно выполнить произвольный код на сервере, другая — получить доступ на чтение / запись к базе данных веб-приложения.

Согласно бюллетеню Adobe, уязвимость удаленного исполнения кода (CVE-2020-24407) возникла из-за возможности внедрения в систему вредоносного файла в обход списка расширений, разрешенных к загрузке. Второй опасный баг, CVE-2020-24400, относится к классу «инъекция SQL-кода» (SQLi); его первопричиной является неадекватная санация данных, вводимых пользователем. Удаленный злоумышленник может использовать этот недочет для чтения, удаления или изменения данных, а также захвата контроля над приложением посредством вредоносного запроса.

Эксплуатация обеих уязвимостей не требует предварительной аутентификации, однако автор атаки должен обладать привилегиями администратора.

Четыре из шести уязвимостей, которые Adobe признала существенными, вызваны несовершенством процедуры проверки прав доступа. В результате возникла возможность добраться до ресурсов ограниченного пользования и модифицировать закрытые данные — список клиентов, страницы CMS. Для использования этих уязвимостей тоже нужны права администратора, но пароль при этом вводить не придется.

Примечателен также баг CVE-2020-24408, позволяющий удаленному злоумышленнику провести XSS-атаку. Успешная эксплуатация возможна, если ему удастся убедить пользователя перейти по ссылке на специально созданную веб-страницу с JavaScript. В этом случае автор атаки сможет изменить внешний вид страницы в браузере жертвы и украсть персональные данные или заставить ее загрузить вредоносный код.

Новые уязвимости актуальны для Magento Commerce и Magento Open Source веток 2.3 и 2.4. Пользователям рекомендуется в течение месяца произвести обновление до сборки 2.3.6 или 2.4.1 соответственно.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

88% россиян забывают пароли: почему это нормально и что с этим делать
Екатерина Быстрова 30 Апреля 2025 - 11:12
Домашние пользователи Системы аутентификацииПарольная защита (пароли) Лаборатория Касперского
88% россиян забывают пароли: почему это нормально и что с этим делать

Ко Всемирному дню пароля, который отмечается 1 мая, эксперты напомнили, почему мы так часто забываем свои пароли — и как с этим справляться безопасно. По результатам опроса, большинство россиян хоть иногда, но сталкиваются с ситуацией, когда приходится восстанавливать доступ к своим аккаунтам.

У 16% это случается часто, у 37% — время от времени, у 35% — редко, но бывает. И это не только неудобно, но и потенциально опасно с точки зрения кибербезопасности.

Почему мы забываем пароли? Всё дело в особенностях памяти. Человеческий мозг запоминает лучше то, что связано с эмоциями, имеет личную значимость или повторяется часто. А вот случайные наборы символов, которые используются редко, мозг склонен «выкидывать» как ненужные. К тому же, забывание — это естественный процесс, который помогает регулировать эмоции и обновлять информацию.

Чтобы всё-таки защитить свои аккаунты и не сойти с ума от количества паролей, специалисты советуют:

  • Не хранить пароли на бумажках и в виде скриншотов;
  • Пользоваться менеджерами паролей — так достаточно будет запомнить всего один мастер-пароль;
  • Создавать надёжные, но запоминаемые комбинации, используя ассоциации, понятные только вам. Например, взять первую букву каждого слова из любимого стихотворения, перемешать заглавные и строчные буквы, добавить символ и важную для вас цифру;
  • Разделять пароль на логические части — так его будет проще держать в памяти;
  • Применять визуальные и аудиальные методы запоминания: «фотографировать» пароль в голове или проговаривать его вслух.

Кроме самих паролей, специалисты рекомендуют включать дополнительные меры безопасности: двухфакторную аутентификацию (например, код из СМС-сообщения) или использовать альтернативные способы входа, основанные на биометрии, одноразовых кодах или токенах. Последние становятся всё популярнее — не нужно ничего запоминать, а уровень защиты при этом высокий.

Возможно, будущее действительно за беспарольной авторизацией. Но пока она не стала повсеместной, стоит позаботиться хотя бы о том, чтобы придуманные пароли не превращались в головоломку — ни для вас, ни для вашей безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Азиатские хакеры 1,5 года скрывались в сети российской госорганизации
Новость
Азиатские хакеры 1,5 года скрывались в сети российской госор...
Мошенники эксплуатируют тему возвращения зарубежных компаний
Новость
Мошенники эксплуатируют тему возвращения зарубежных компаний
Специалисты вышли на инфраструктуру Android-ботнета BadBox
Новость
Специалисты вышли на инфраструктуру Android-ботнета BadBox

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.