Pour gérer vos consentements :

Sécurité : Magento reste en proie aux injections SQL

Comment acheter une montre de luxe pour trois fois rien ? En piratant un site e-commerce.

Check Point avait, voilà plus de quatre ans, choisi cette approche pour communiquer sur une faille que deux de ses chercheurs avaient découverte dans Magento.

La plate-forme e-commerce appartenait alors encore à eBay (qui l’a depuis lors cédée, Adobe s’en emparant finalement pour près de 2 milliards de dollars).

La faille en question permettait d’accéder aux bases de données des sites e-commerce. Et par là même, entre autres, de créer des comptes administrateurs… en capacité notamment de changer le prix de tout article.

L’accès aux bases de données se faisait par injection SQL.

Ça s’en va et ça revient

Ce type de vulnérabilité – qui ne touche pas toujours la plate-forme en elle-même – est régulièrement recensé sur Magento.

Il vient de faire l’objet d’un nouveau correctif, publié cette semaine sous la référence PRODSECBUG-2198.

Présente aussi bien dans la version open source de Magento que dans la version commerciale, la faille qu’élimine ce correctif affiche un haut score de criticité : 9/10. L’exploiter ne requiert pas d’authentification et le processus peut facilement être automatisé.

Après étude du correctif, Sucuri (fournisseur américain de solutions de sécurité) suggère aux utilisateurs de Magento de vérifier leurs journaux de connexion. Un grand nombre d’accès à l’entrée /catalog/product/frontend_action_synchronize est susceptible de refléter une attaque.

D’autres failles présentant un score de criticité supérieur à 9/10 sont corrigées pour l’occasion. L’une d’entre elles permet à un utilisateur authentifié et disposant des droits adéquats d’insérer du code malveillant dans des modèles d’e-mails ou de newsletters.

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago