Bug su Magento, milioni di siti e-commerce a rischio

Un bug su Magento scoperto dalla firma di sicurezza Sucuri potrebbe mettere a rischio i siti di e-commerce e gli utenti iscritti ai servizi. La patch è già disponibile, ma sono i siti a dover aggiornare la piattaforma

di Nino Grasso pubblicata il 26 Gennaio 2016, alle 18:01 nel canale Sicurezza

Milioni di siti e-commerce potrebbero essere potenzialmente esposti ad una vulnerabilità, appena corretta, sulla piattaforma Magento. Scoperto e annunciato da Sucuri, il bug "stored XSS" è presente in tutte le versioni di Magento Community Edition ed Enterprise Edition rispettivamente precedenti alla 1.9.2.3 e 1.14.2.3. La società di sicurezza aveva già riportato privatamente la vulnerabilità e ha deciso di renderla pubblica solo adesso che un fix è stato rilasciato.

I bug XSS (cross-site scripting) sono probabilmente fra i più diffusi e sfruttati fra le vulnerabilità sui siti web

Il bug consente ad eventuali aggressori esterni di integrare codice JavaScript malevolo all'interno dei form di registrazione dei nuovi utenti. In questo modo Magento esegue gli script nel contesto dei privilegi di amministrazione, rendendo quindi effettivamente possibili modifiche profonde sul server su cui viene lanciata la piattaforma di e-commerce.

"Lo snippet contenente il bug si trova all'interno delle librerie basilari di Magento, più precisamente dentro il backend dell'amministratore", si legge sul sito di Sucuri. "A meno che il tuo sito non si trovi dietro un WAF o utilizzi un pannello d'amministrazione profondamente modificato, il sito è a rischio. Poiché si tratta di una vulnerabilità Stored XSS, il problema potrebbe essere usato da potenziali aggressori per prendere pieno possesso del sito, creare un nuovo account amministratore, rubare informazioni degli utenti e compiere tutte le operazioni permesse a un amministratore legittimo".

I bug XSS (cross-site scripting) sono probabilmente fra i più diffusi e sfruttati fra le vulnerabilità sui siti web. Sono il risultato di applicazioni Web che non riescono a riconoscere un eventuale codice eseguibile all'interno dei caratteri immessi dagli utenti nei relativi form. Tutti i siti basati su Magento sono chiamati ad installare l'aggiornamento al più presto, mentre nel caso in cui la patch non sia immediatamente installabile è consigliato l'uso di una suite di sicurezza dotata di un firewall capace di contrastare il bug specifico.

I migliori sconti su Amazon oggi

-20%

Apple iPhone 16 128 GB: Telefono 5G con Controllo fotocamera, chip A18 e tanta autonomia in più. Compatibile con AirPods; Nero

979.00 779.00€ Compra ora

-20%

SAMSUNG Galaxy S25 Edge, Smartphone AI, 3 anni di Garanzia del produttore, Display 6.7'' QHD+ Dynamic AMOLED 2X, Fotocamera 200MP, RAM 12GB, 512GB, 3.900 mAh, Titanium Jetblack [Versione italiana]

1419.00€ Compra ora

-20%

TCL 85T8B, TV QLED 85”, 4K Ultra HD, Google TV (Dolby Vision, Audio ONKYO 2.1 con Dolby Atmos, Controllo vocale hands-free, compatibile con Google assistant & Alexa, AirPlay2)

Compra ora

Joe Belfiore di Microsoft, criticato per usare iPhone, risponde: è per lavoro

Platinum Games svela un nuovo progetto in collaborazione con Activision

MannaggialaPupazza26 Gennaio 2016, 23:41 #1

Ma in pratica quali sono i siti a rischio?

songohan27 Gennaio 2016, 07:08 #2

Originariamente inviato da: MannaggialaPupazza

Ma in pratica quali sono i siti a rischio?

Sono troppi da elencare.
Sono miglioni!!!

adapter27 Gennaio 2016, 08:15 #3

Per fortuna che ho la carta di credito attivata per la conferma dispositiva via SMS.
Così, non devo manco perdere tempo a cambiare le password ai siti e-commerce su cui sono registrato..

mauriziogl27 Gennaio 2016, 09:30 #4

Non vengono presi i dati di carta, paypal o altro, visto che il 99,9% dei siti si affida a pos virtuali della banca crittografati, inoltre per quei pochissimi che li usano (se li usano) su Magento, sono moduli anch'essi crittografati quindi anche se ci entrassero, vedrebbero lettere e numeri senza senso.Le carte vengono clonate con altri meccanismi.
Di solito prendono i dati dei clienti come la mail.

Hal200127 Gennaio 2016, 10:27 #5

Originariamente inviato da: songohan

Sono troppi da elencare.
Sono miglioni!!!

Migliardi!

pingalep27 Gennaio 2016, 10:56 #6

Gigowatt!

*aLe27 Gennaio 2016, 11:00 #7

Originariamente inviato da: Hal2001

Migliardi!

Milliaia di migliardi!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.

tutti gli articoli »

tutte le news »

Multimedia
Gallerie
Video

MSI Prestige 13 AI e i portatili business al Computex

NVIDIA GeForce RTX 5060: le schede video di ogni partner dal Computex

MSI Maestro 9000 al Computex 2025: un case che stupisce

Phanteks al Computex 2025

Corsair al Computex 2025

Fujifilm GFX100RF: la 'compatta' medio formato

Meglio un MacBook o un PC portatile con Windows, oggi? Scenari, dubbi e qualche certezza Passano gli anni, anzi i decenni, ma la domanda puntualmente riemerge fra le mail degli utenti meno esperti, alla ricerca di consigli e mossi dai più svariati motivi....

realme GT7: un "flaghsip killer" concreto! La recensione Abbiamo provato l'ultimo smartphone di realme, il nuovo GT7. Si tratta di un device che si colloca in una fascia di mercato delicata, ovvero quella che possiamo...

Recensione DOOM: The Dark Ages, proiettili e heavy metal nel Medioevo Abbiamo indossato la corazza dello Slayer per tornare nell'universo di DOOM ed esplorare un'ambientazione inedita per l'FPS di id Software. Questa volta veniamo...

DJI Osmo Mobile 7P: ti segue anche con la fotocamera nativa dello smartphone! Grande novità per il nuovo gimbal DJI Osmo Mobile 7P: grazie al modulo multifunzione incluso, dotato di telecamera, ora l'inseguimento del soggetto è possibile anche...

Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...

La rivoluzione dei dati in tempo reale è in arrivo. Un assaggio a Confluent Current 2025 Siamo andati a Londra per partecipare a Current 2025, la conferenza annuale di Confluent. Il tema al centro dell'evento era l'elaborazione dei dati in tempo reale...

Tutto sulla nuova Tesla Model Y: autonomia in autostrada, prova bagagliaio e dettagli Abbiamo guidato per diversi giorni la nuova Tesla Model Y, in versione di lancio dual motor e con batteria long range. Ecco tutto quello che c'è da sapere sull'erede...

Fujifilm X100VI: con le 'ricette' è la fotocamera più divertente del momento Fujifilm X100VI è la fotocamera perfetta per divertirsi con la street photography: è tascabile, offre grande qualità, ma soprattutto permette di giocare molto con...

No Rss

Bug su Magento, milioni di siti e-commerce a rischio

Apple iPhone 16 128 GB: Telefono 5G con Controllo fotocamera, chip A18 e tanta autonomia in più. Compatibile con AirPods; Nero

SAMSUNG Galaxy S25 Edge, Smartphone AI, 3 anni di Garanzia del produttore, Display 6.7'' QHD+ Dynamic AMOLED 2X, Fotocamera 200MP, RAM 12GB, 512GB, 3.900 mAh, Titanium Jetblack [Versione italiana]

TCL 85T8B, TV QLED 85”, 4K Ultra HD, Google TV (Dolby Vision, Audio ONKYO 2.1 con Dolby Atmos, Controllo vocale hands-free, compatibile con Google assistant & Alexa, AirPlay2)

7 Commenti