Magento電子商務平臺中的未修補的漏洞可能允許黑客在託管網上商店的網絡伺服器上上傳並執行惡意代碼。
該漏洞由安全顧問DefenseCode的研究人員發現,該功能可以檢索Vimeo上託管的視頻的預覽圖像。這樣的視頻可以添加到Magento的產品列表。
DefenseCode研究人員確定,如果圖像URL指向不同的文件,例如PHP腳本,Magento將下載文件以驗證它。如果文件不是圖像,平臺將返回「不允許的文件類型」錯誤,但實際上不會將其從伺服器中刪除。
有權利利用此漏洞的攻擊者可以通過首先欺騙Magento來下載.htaccess配置文件,從而在下載目錄中執行PHP,然後下載惡意PHP文件本身,可以實現遠程執行代碼。
一旦在伺服器上,PHP腳本可以作為後門,並可以通過將瀏覽器指向外部位置從外部訪問。例如,攻擊者可以使用它來瀏覽伺服器目錄,並從Magento的配置文件中讀取資料庫密碼。這可以揭示存儲在資料庫中的客戶信息,這對於客戶來說是非常可怕的。
唯一的限制是,此漏洞無法直接利用,因為視頻連結功能需要身份驗證。這意味著攻擊者需要訪問目標網站上的帳戶,但這可能是一個較低權限的用戶,而不一定是管理員。
如果網站沒有啟用「添加秘密密鑰URL」選項,也可以輕鬆克服身份驗證障礙。此選項旨在防止跨站點請求偽造(CSRF)攻擊,並默認啟用。
CSRF是一種攻擊技術,涉及強制用戶瀏覽器在訪問不同網站時在網站上執行未經授權的請求。
DefenseCode研究人員在一份諮詢文章中說:「攻擊可以在電子郵件或公共留言板中簡單地構建為img src = ...,如果用戶當前登錄到Magento,它將自動觸發任意文件上傳。「攻擊者還可以誘使用戶使用社交登錄來開展CSRF連結。」
這意味著,只要點擊電子郵件中的連結或訪問特製網頁,在瀏覽器中啟用Magento會話的用戶可能會將其帳戶暴露。
DefenseCode研究人員聲稱,他們已經在去年11月份向Magento開發者報告了這些問題,但從那時起沒有收到關於修補計劃的信息。
Magento社區版(CE)的幾個版本自11月份發布以來,最近的版本是周二的2.1.6。根據DefenseCode,所有Magento CE版本仍然是脆弱的有缺陷的。
Magento在一封電子郵件的聲明中說:「我們一直在積極調查所報告問題的根本原因,「我們將在下一個補丁版本中解決這個問題,並繼續努力改進我們的程序。」
DefenseCode研究人員說:「強烈建議所有用戶強制使用」添加秘密密鑰到URL「,減輕CSRF攻擊向量。「為防止通過任意文件上傳遠程執行代碼,伺服器應配置為不受影響目錄中的.htaccess文件。
Magento目前被超過25萬個在線零售商使用,成為黑客最有吸引力的攻擊目標。去年,研究人員發現了數以千計的Magento網上商店遭到入侵和感染惡意代碼,。