Qu’ils exploitent l’édition Community ou Enterprise, les utilisateurs de Magento sont vivement encouragés à mettre à jour leur installation en appliquant le patch « Supee-7405 ».
Cet ensemble de correctifs élimine pas moins de 20 failles*, dont deux critiques.
L’une d’entre elles (APPSEC-1213) met potentiellement en danger des millions de sites e-commerce. Il aura fallu plus de deux mois à Magento pour la colmater.
Ses équipes avaient été averties le 10 novembre 2015 par Sucuri.
L’éditeur d’origine brésilienne attribuait alors à la vulnérabilité un score de criticité de 7/10, en la rapprochant de celle qui avait été découverte, quelques mois auparavant, dans le plugin Jetpack associé au CMS WordPress.
Pourquoi ce parallèle ? Dans les deux cas, on a affaire à une faille de type XSS (script inter-site) qui peut permettre à n’importe quel internaute de prendre le contrôle d’un serveur en injectant du code JavaScript malveillant.
Dans le cas de Magento, la brèche se trouve au niveau de l’interface d’administration, et plus précisément à l’adresse app/design/adminhtml/default/default/template/sales/order/view/info.phtml, associée au formulaire d’enregistrement des clients.
Il est possible de saisir, dans le champ « adresse e-mail », presque tout caractère imprimable (à l’exception de l’espace), aussi longtemps qu’on met la chaîne de caractères entre guillemets.
Résultat : Magento ne bronche pas quand on lui envoie une valeur de type “><script>alert(1);</script>”@sucuri.net. Et dès lors qu’un administrateur se connecte pour vérifier la commande ou l’enregistrement du client, le code s’exécute… Suffisant pour qu’un tiers puisse prendre le contrôle de la plate-forme, créer d’autres comptes administrateurs et voler des données.
Exploitable à distance, cette faille est présente dans « presque toutes les versions » de Magento Community Edition (1.9.2.3 et antérieures) et Enterprise Edition (1.14.2.3 et antérieures). En tête de liste, celles qui ne sont pas placées derrière un pare-feu et dont le panneau d’administration n’a pas été modifié.
* On notera la résorption d’une autre faille XSS critique associée au module de paiement PayFlow Pro, d’un problème de contournement des « captchas » (procédures destinées à écarter les robots) ou encore d’une fuite de données via les flux RSS.
Crédit photo : Shutter-Man – Shutterstock.com
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…
