Разработчики CMS Magento подготовили долгожданный патч, который устраняет серьезный баг в платформе для электронной коммерции.
Широко эксплуатируемая в последние месяцы уязвимость позволяет злоумышленнику установить на целевой веб-ресурс вредоносный инжект и выполнить его. Всем пользователям затронутых систем рекомендуют немедленно установить обновление, а также проверить сайты на наличие сторонних скриптов.
Критический RCE-баг получил от специалистов максимальный рейтинг по шкале CVSS — 10 баллов. Хотя обновление закрывает уязвимость, но не устраняет результаты ее эксплуатации. Если злоумышленники успели воспользоваться багом и внедрить свой скрипт на сайт, администраторам необходимо удалить его самостоятельно. Создатели системы рекомендуют провести тщательный аудит веб-ресурса, чтобы исключить наличие вредоносных инжектов.
В июне 2020 года разработчики намерены прекратить поддержку устаревших релизов и не выпускать обновления безопасности для них. По разным подсчетам, на актуальную версию движка все еще не перешли от 200 тыс. до 240 тыс. веб-ресурсов.
Ранее в октябре стало известно, что компания Extendware, создатель расширений для сайтов на базе CMS Magento, пострадала от атаки взломщиков. Злоумышленники внедрили скиммер на сайт организации и могли также заразить всю ее продукцию, загруженную с 4 октября.
Эксперты АКБ уже рассказывали, что интернет-магазины на CMS Magento переживают в 2019 году тяжелый период, уязвимостей в них обнаруживается едва ли не столько же, сколько в WordPress в прошлом году.
Читайте также на АКБ:
Скрипт-разбойник вытаскивает платежи из прорехи в интернет-магазинах Magento
