terça-feira, 2 de fevereiro de 2016

 Terça-feira, 26 de janeiro, 2016  Swati Khandelwal

Falha crítica no Magento deixar Milhões de sites de comércio eletrônico em Risco
Se você estiver usando Magento para executar o seu site de e-commerce, é hora de você atualizar o CMS (Content Management System) agora.

Milhões de comerciantes on-line estão em risco de ataques de seqüestro devido a uma série de cross-site scripting (XSS) vulnerabilidades críticas no Magento, a plataforma de e-commerce mais popular propriedade do eBay.

Por que os erros são tão sério?


Praticamente todas as versões do Edição Comunidade Magento 1.9.2.2 e anteriores, bem como Enterprise Edition 1.14.2.2 e anteriores, são vulneráveis ​​aos Cross-Site Scripting Armazenados(XSS) falhas.


As falhas de XSS armazenados são horríveis como eles permitem que os invasores:
  • Efetivamente assumir uma loja on-line baseada em Magento
  • Escalar privilégios de usuário
  • Sifão de dados dos clientes
  • Roubar informações de cartão de crédito
  • Controle o site através de contas de administrador
No entanto, a boa notícia é que as vulnerabilidades são corrigidos, e uma atualização foi disponibilizada ao público após a empresa de segurança Sucuri descoberto e reportada em particular a vulnerabilidade para a empresa.

Como é fácil de explorar a falha


Os bugs XSS são bastante fáceis de explorar. Tudo que um atacante precisa fazer é inserir o código JavaScript malicioso dentro de formulários de registro do cliente no lugar do endereço de e-mail.

Magento em seguida, executa e executa este e-mail contendo o código JavaScript no contexto da conta de administrador, tornando-se possível a um atacante para roubar sessão administrador e assumir completamente o servidor executando o Magento.

Empresa de segurança cibernética Sucuri descreve o bug como o pior buraco, dizendo:

"O trecho de buggy está localizado dentro de bibliotecas centrais Magento, mais especificamente dentro de backend do administrador. A menos que você está atrás de um WAF ou você tem um painel de administração muito fortemente modificada, você está em risco."
"Como se trata de uma vulnerabilidade de XSS armazenado, este questão poderia ser usada por hackers para assumir o seu site, criar novas contas de administrador, roubar informações do cliente, qualquer coisa uma conta de administrador legítimo é permitido fazer. "

Corrigir o seu Software Now!


Para impedir que sites de exploração, webmasters são recomendadas para aplicar o patch mais recente pacote SUPEE-7405 o mais rapidamente possível.

Desde o último patch resolve o problema para Magento versão 1.14.1 e 1.9.1 e anteriores, os problemas que afetam as versões 1.9.2.3 e 1.14.2.3 Magento já foram resolvidos.

Com Alexa topo de um milhão de sites de comércio eletrônico e sobre todos os dez milhões de sites usando quarta CMS mais popular da internet, Magento tornou-se um alvo valioso para os atacantes hoje em dia.

Então, corrigir seus sites agora para se manter seguro!
Sobre o autor:
      
Swati Khandelwal é escritor técnico sênior e analista de segurança do The Hacker News.Ela é um entusiasta da tecnologia com um olho afiado no Ciberespaço e outros desenvolvimentos relacionados com tecnologia.
Postado por às

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)