Критическая отдаленная уязвимость выполнения кода в платформе электронной коммерции Magento могла эксплуатироваться нападавшими, чтобы скомпрометировать продавцов онлайн, полагающихся на это решение, и данные о платежной карте кражи и информацию о клиенте.

Принадлежавший eBay, Magento выпустил участок для недостатка безопасности 9 февраля (SUPEE-5344), но кажется, что есть все еще много администраторов веб-сайта, которые должны применить обновление.

Многочисленные веб-сайты все еще выставили спустя два месяца после выпуска участка

Медленное принятие участка, возможно, было определено тем, что в некоторых случаях администраторы получили новости о критическом обновлении со значительной задержкой.

Разработчик программного обеспечения Бранко Аджзел, который справляется с несколькими управлением мест Magento, получил тревогу участка 16 апреля, спустя больше чем два месяца после ее официального выпуска. В твите в пятницу, он сказал, что должен был обновить 10 сайтов к новой версии коммерческой платформы онлайн.

По данным компании по обеспечению безопасности веб-сайта Sucuri, в субботу, были выставлены больше чем 50% решения для электронной коммерции eBay использования веб-сайтов, который переведет к сотням тысяч.

Число, возможно, понизилось с тех пор, но маловероятно, что все веб-сайты приняли последний выпуск Magento.

Исследователи Vulnerability при Разработках программного обеспечения Контрольной точки, которые обнаружили недостаток и раскрыли его конфиденциально Magento, сказали в понедельник, что были затронуты почти 200 000 магазинов онлайн.

Это неясно, хотя, если это число было зарегистрировано в то время, когда уязвимость была обнаружена, или это было основано на недавних данных о телеметрии.

Технические детали скоро, чтобы быть выпущенным, рабочий ожидаемый PoC

“Уязвимость, которую мы раскрыли, представляет значительную угрозу не всего одному магазину, но всем розничным брендам, которые используют платформу Magento для их интернет-магазинов - который представляет приблизительно 30% рынка электронной коммерции”, сказали Шахар Тэл, Вредоносное программное обеспечение и Научный руководитель Уязвимости в Контрольной точке.

Удаленная возможность выполнения происходит от ряда нескольких слабых мест (зачисленный на Нетанеля Рубина), весь подарок в Magento, который мог эксплуатироваться, чтобы выполнить код PHP на веб-сервере, позволяя контроль над полной базой данных магазина.

Рубин говорит, что затруднения влияют на любую установку по умолчанию и Сообщества и Версий для предприятий Magento.

В данный момент все технические детали сохранены частными, но планы компании по обеспечению безопасности по обеспечению анализа уязвимости позже сегодня.

Рассматривая это, администраторы должны торопить и обновить свои находящиеся в Magento магазины, так как технический анализ обязан произвести доказательство понятия, которое могли щипнуть киберпреступники для нападений.

Что? Напоминание о безопасности #Magento 16 апреля 2015, для участка это доступно с 9 февраля 2015?! http://t.co/ANoffR6AdV — Бранко Аджзел (@ajzele) 17 апреля 2015