magento

Magento: Une possibilité d’injection SQL découverte

Si votre site de commerce en ligne utilise la plateforme Magento, alors cet article vous concerne.

Magento a sorti de nouvelles versions de son système de gestion de contenu pour réparer 37 vulnérabilités.

Propriété d’Adobe depuis 2018, Magento est l’une des plateformes de systèmes de gestion de contenu (CMS) les plus populaires. 28% des sites Internet qui accueillent plus de 250 000 marchands utilisent cette plateforme.

La plupart des failles de sécurité pouvaient seulement être exploité par des utilisateurs authentifiés, l’une des failles les plus critiques est une injection SQL qui peut être exploiter à distance sans authentification.

La faille n’a pas de numéro d’identification CVE mais a été nommé “PRODSECBUG-2198”. Elle permet de dérober des informations sensibles à partir des bases de données des sites vulnérables.

Êtes-vous affecté par cette faille de Magento?

Les versions affectées sont:

  • Open Source antérieur à la version 1.9.4.1
  • Commerce antérieur à la version 1.14.4.1
  • Commerce 2.1 antérieur à la version 2.1.17
  • Commerce 2.2 antérieur à la version 2.2.8
  • Commerce 2.3 antérieur à la version 2.3.1

Les sites ne stockent pas seulement les informations des utilisateurs mais aussi les historiques de commandes et les informations financières des clients, cette faille met toutes ces données en danger.

Vu la nature sensible des données manipulées ainsi que le risque posé par la vulnérabilité SQL, les développeurs ont décidé de ne pas publier les détails techniques de la faille.

En plus de la vulnérabilité SQLi, ils ont aussi patché des failles cross-site request forgery (CSRF), cross-site scripting (XSS), remote code execution (RCE) et bien d’autres vulnérabilités, mais l’exploitation de la majorité de ces failles requiert d’être authentifié sur le site et d’avoir un certain niveau de privilèges.

Les propriétaires de magasins en ligne sont priés de mettre à jour leurs sites d’e-commerce le plus vite possible avant que les hackers ne puissent exploiter la faille pour compromettre des sites et voler les détails de paiement des clients.

Si cet article vous a plu, jetez un œil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de