Magento zaifligi 300 000 veb-saytni xavf ostiga qo’yadi.
Magento asosida ishlaydigan onlayn-do’konlar egalariga yangilanishni iloji boricha tezroq o’rnatish tavsiya etiladi.
Magento onlayn-do’konlarini boshqarish tizimida zaiflik aniqlandi, bu taxminan 300 000 veb-saytni xavf ostiga qo’ydi.
PRODSECBUG-2198 zaifligi ruxsatsiz SQL in’ektsiyasini amalga oshirishga imkon beradi. Ushbu zaiflikdan foydalanib, tajovuzkor administrator hisobini masofadan turib boshqarishi, foydalanuvchi nomlari va xeshlangan parollarni yuklab olishi va xeshlarni buzishi mumkin. Keyin tajovuzkor kredit karta ma’lumotlarini o’g’irlash uchun orqa eshik yoki zararli kodni o’rnatishi mumkin.
Magento jamoasi zaiflik uchun yamoq chiqardi, ammo Sucuri tadqiqotchilari yamoqni muvaffaqiyatli teskari muhandislik qildilar va kontseptsiyani isbotlovchi ekspluatatsiyani ishlab chiqdilar. Ularning aytishicha, zaiflikdan foydalanish juda oson, shuning uchun Magento onlayn-do’kon egalariga yangilanishni iloji boricha tezroq o’rnatish tavsiya etiladi.
Muammo platformaning ham tijorat, ham ochiq kodli versiyalariga ta’sir qiladi va Magento 2.1.17 / 2.2.8 / 2.3.1 versiyalarida allaqachon tuzatilgan.
Zaiflikning xavfliligi va haqiqiy hujumlarning yo’qligi sababli, tadqiqotchilar hozirda texnik tafsilotlarni nashr etishdan tiyilmoqdalar.
