Magento电子商务平台上一个未修补的漏洞可能让黑客在托管在线商店的web服务器上上传和执行恶意代码。
这个漏洞是由安全咨询公司DefenseCode的研究人员发现的,位于检索Vimeo上视频预览图像的功能中。这样的视频可以添加到Magento的产品列表中。
DefenseCode的研究人员确定,如果图片的URL指向一个不同的文件,例如一个PHP脚本,Magento将下载该文件以验证它。如果文件不是映像,平台将返回一个“不允许的文件类型”错误,但不会从服务器实际删除它。
能够利用这个漏洞的攻击者可以通过欺骗Magento下载一个.htaccess配置文件来实现远程代码执行,该配置文件允许PHP在下载目录中执行,然后再下载恶意的PHP文件本身。
在服务器上,PHP脚本可以充当后门,可以从外部位置通过浏览器访问它。例如,攻击者可以使用它浏览服务器目录并从Magento的配置文件中读取数据库密码。这可能会暴露存储在数据库中的客户信息,对于在线商店来说,这些信息可能非常敏感。
唯一的限制是这个漏洞不能被直接利用,因为视频链接功能需要身份验证。这意味着攻击者需要访问目标网站上的帐户,但可以是权限较低的用户,不一定是管理员。
如果网站没有打开“向url添加密钥”选项,验证的障碍也可以轻松克服。此选项用于防止跨站点请求伪造(CSRF)攻击,默认启用。
CSRF是一种攻击技术,它迫使用户的浏览器在访问另一个网站时执行未经授权的请求。
防御码的研究人员在报告中说:“攻击可以简单地构建为一个顾问。“攻击者还可以利用社会工程诱使用户打开CSRF链接。”
这意味着,只要点击电子邮件中的一个链接或访问一个专门设计的网页,浏览器中有活跃Magento会话的用户可能会被滥用其帐户,从而危害网站。
DefenseCode的研究人员声称,他们已经在11月份向Magento开发者报告了这些问题,但从那以后就没有收到任何关于补丁计划的信息。
自去年11月以来,Magento社区版(CE)已经发布了几个版本,最近的一个是周二发布的2.1.6版本。根据防御码的说法,所有的Magento CE版本仍然很脆弱,这也是促使他们公开这个漏洞的原因。
“我们一直在积极调查所报告问题的根本原因,目前尚不清楚任何外部攻击,”负责该电子商务平台开发的Magento公司在一份电子邮件声明中表示。“我们将在下一个补丁中解决这个问题,并持续改进我们的安全程序。”
“我们强烈建议所有用户使用‘向url添加密钥’的方法,这样可以减轻CSRF的攻击。”DefenseCode的研究人员说。为了防止远程代码通过任意文件上传执行,服务器应该配置为不允许。htaccess文件在受影响的目录。
超过25万在线零售商使用Magento,这使得它成为黑客的一个诱人目标。去年,研究人员发现数千家基于magento的在线商店被破坏感染了恶意代码,窃取了支付卡的详细信息