Qu’ils exploitent l’édition Community ou Enterprise, les utilisateurs de Magento sont vivement encouragés à mettre à jour leur installation en appliquant le patch « Supee-7405 ».
Cet ensemble de correctifs élimine pas moins de 20 failles*, dont deux critiques.
L’une d’entre elles (APPSEC-1213) met potentiellement en danger des millions de sites e-commerce. Il aura fallu plus de deux mois à Magento pour la colmater.
Ses équipes avaient été averties le 10 novembre 2015 par Sucuri.
L’éditeur d’origine brésilienne attribuait alors à la vulnérabilité un score de criticité de 7/10, en la rapprochant de celle qui avait été découverte, quelques mois auparavant, dans le plugin Jetpack associé au CMS WordPress.
Pourquoi ce parallèle ? Dans les deux cas, on a affaire à une faille de type XSS (script inter-site) qui peut permettre à n’importe quel internaute de prendre le contrôle d’un serveur en injectant du code JavaScript malveillant.
Dans le cas de Magento, la brèche se trouve au niveau de l’interface d’administration, et plus précisément à l’adresse app/design/adminhtml/default/default/template/sales/order/view/info.phtml, associée au formulaire d’enregistrement des clients.
Il est possible de saisir, dans le champ « adresse e-mail », presque tout caractère imprimable (à l’exception de l’espace), aussi longtemps qu’on met la chaîne de caractères entre guillemets.
Résultat : Magento ne bronche pas quand on lui envoie une valeur de type “><script>alert(1);</script>”@sucuri.net. Et dès lors qu’un administrateur se connecte pour vérifier la commande ou l’enregistrement du client, le code s’exécute… Suffisant pour qu’un tiers puisse prendre le contrôle de la plate-forme, créer d’autres comptes administrateurs et voler des données.
Exploitable à distance, cette faille est présente dans « presque toutes les versions » de Magento Community Edition (1.9.2.3 et antérieures) et Enterprise Edition (1.14.2.3 et antérieures). En tête de liste, celles qui ne sont pas placées derrière un pare-feu et dont le panneau d’administration n’a pas été modifié.
* On notera la résorption d’une autre faille XSS critique associée au module de paiement PayFlow Pro, d’un problème de contournement des « captchas » (procédures destinées à écarter les robots) ou encore d’une fuite de données via les flux RSS.
Crédit photo : Shutter-Man – Shutterstock.com
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…
Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…