Bug su Magento, milioni di siti e-commerce a rischio

Bug su Magento, milioni di siti e-commerce a rischio

Un bug su Magento scoperto dalla firma di sicurezza Sucuri potrebbe mettere a rischio i siti di e-commerce e gli utenti iscritti ai servizi. La patch è già disponibile, ma sono i siti a dover aggiornare la piattaforma

di Nino Grasso pubblicata il , alle 18:01 nel canale Sicurezza
 

Milioni di siti e-commerce potrebbero essere potenzialmente esposti ad una vulnerabilità, appena corretta, sulla piattaforma Magento. Scoperto e annunciato da Sucuri, il bug "stored XSS" è presente in tutte le versioni di Magento Community Edition ed Enterprise Edition rispettivamente precedenti alla 1.9.2.3 e 1.14.2.3. La società di sicurezza aveva già riportato privatamente la vulnerabilità e ha deciso di renderla pubblica solo adesso che un fix è stato rilasciato.

I bug XSS (cross-site scripting) sono probabilmente fra i più diffusi e sfruttati fra le vulnerabilità sui siti web

Il bug consente ad eventuali aggressori esterni di integrare codice JavaScript malevolo all'interno dei form di registrazione dei nuovi utenti. In questo modo Magento esegue gli script nel contesto dei privilegi di amministrazione, rendendo quindi effettivamente possibili modifiche profonde sul server su cui viene lanciata la piattaforma di e-commerce.

"Lo snippet contenente il bug si trova all'interno delle librerie basilari di Magento, più precisamente dentro il backend dell'amministratore", si legge sul sito di Sucuri. "A meno che il tuo sito non si trovi dietro un WAF o utilizzi un pannello d'amministrazione profondamente modificato, il sito è a rischio. Poiché si tratta di una vulnerabilità Stored XSS, il problema potrebbe essere usato da potenziali aggressori per prendere pieno possesso del sito, creare un nuovo account amministratore, rubare informazioni degli utenti e compiere tutte le operazioni permesse a un amministratore legittimo".

I bug XSS (cross-site scripting) sono probabilmente fra i più diffusi e sfruttati fra le vulnerabilità sui siti web. Sono il risultato di applicazioni Web che non riescono a riconoscere un eventuale codice eseguibile all'interno dei caratteri immessi dagli utenti nei relativi form. Tutti i siti basati su Magento sono chiamati ad installare l'aggiornamento al più presto, mentre nel caso in cui la patch non sia immediatamente installabile è consigliato l'uso di una suite di sicurezza dotata di un firewall capace di contrastare il bug specifico.

7 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
MannaggialaPupazza26 Gennaio 2016, 23:41 #1
Ma in pratica quali sono i siti a rischio?
songohan27 Gennaio 2016, 07:08 #2
Originariamente inviato da: MannaggialaPupazza
Ma in pratica quali sono i siti a rischio?


Sono troppi da elencare.
Sono miglioni!!!
adapter27 Gennaio 2016, 08:15 #3
Per fortuna che ho la carta di credito attivata per la conferma dispositiva via SMS.
Così, non devo manco perdere tempo a cambiare le password ai siti e-commerce su cui sono registrato..
mauriziogl27 Gennaio 2016, 09:30 #4
Non vengono presi i dati di carta, paypal o altro, visto che il 99,9% dei siti si affida a pos virtuali della banca crittografati, inoltre per quei pochissimi che li usano (se li usano) su Magento, sono moduli anch'essi crittografati quindi anche se ci entrassero, vedrebbero lettere e numeri senza senso.Le carte vengono clonate con altri meccanismi.
Di solito prendono i dati dei clienti come la mail.
Hal200127 Gennaio 2016, 10:27 #5
Originariamente inviato da: songohan
Sono troppi da elencare.
Sono miglioni!!!


Migliardi!
pingalep27 Gennaio 2016, 10:56 #6
Gigowatt!
*aLe27 Gennaio 2016, 11:00 #7
Originariamente inviato da: Hal2001
Migliardi!
Milliaia di migliardi!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^