Sécurité IT : Magento face à la menace XSS

E-commerceMarketingRisquesSécurité
magento-xss

Le dernier patch diffusé par Magento corrige une vingtaine de failles, dont l’une particulièrement critique de type XSS (script inter-site).

Qu’ils exploitent l’édition Community ou Enterprise, les utilisateurs de Magento sont vivement encouragés à mettre à jour leur installation en appliquant le patch « Supee-7405 ».

Cet ensemble de correctifs élimine pas moins de 20 failles*, dont deux critiques.

L’une d’entre elles (APPSEC-1213) met potentiellement en danger des millions de sites e-commerce. Il aura fallu plus de deux mois à Magento pour la colmater.

Ses équipes avaient été averties le 10 novembre 2015 par Sucuri.

L’éditeur d’origine brésilienne attribuait alors à la vulnérabilité un score de criticité de 7/10, en la rapprochant de celle qui avait été découverte, quelques mois auparavant, dans le plugin Jetpack associé au CMS WordPress.

Pourquoi ce parallèle ? Dans les deux cas, on a affaire à une faille de type XSS (script inter-site) qui peut permettre à n’importe quel internaute de prendre le contrôle d’un serveur en injectant du code JavaScript malveillant.

Dans le cas de Magento, la brèche se trouve au niveau de l’interface d’administration, et plus précisément à l’adresse app/design/adminhtml/default/default/template/sales/order/view/info.phtml, associée au formulaire d’enregistrement des clients.

Il est possible de saisir, dans le champ « adresse e-mail », presque tout caractère imprimable (à l’exception de l’espace), aussi longtemps qu’on met la chaîne de caractères entre guillemets.

Résultat : Magento ne bronche pas quand on lui envoie une valeur de type “><script>alert(1);</script>”@sucuri.net. Et dès lors qu’un administrateur se connecte pour vérifier la commande ou l’enregistrement du client, le code s’exécute… Suffisant pour qu’un tiers puisse prendre le contrôle de la plate-forme, créer d’autres comptes administrateurs et voler des données.

Exploitable à distance, cette faille est présente dans « presque toutes les versions » de Magento Community Edition (1.9.2.3 et antérieures) et Enterprise Edition (1.14.2.3 et antérieures). En tête de liste, celles qui ne sont pas placées derrière un pare-feu et dont le panneau d’administration n’a pas été modifié.

* On notera la résorption d’une autre faille XSS critique associée au module de paiement PayFlow Pro, d’un problème de contournement des « captchas » (procédures destinées à écarter les robots) ou encore d’une fuite de données via les flux RSS.

Crédit photo : Shutter-Man – Shutterstock.com

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur