Comment acheter une montre de luxe pour trois fois rien ? En piratant un site e-commerce.
Check Point avait, voilà plus de quatre ans, choisi cette approche pour communiquer sur une faille que deux de ses chercheurs avaient découverte dans Magento.
La plate-forme e-commerce appartenait alors encore à eBay (qui l’a depuis lors cédée, Adobe s’en emparant finalement pour près de 2 milliards de dollars).
La faille en question permettait d’accéder aux bases de données des sites e-commerce. Et par là même, entre autres, de créer des comptes administrateurs… en capacité notamment de changer le prix de tout article.
L’accès aux bases de données se faisait par injection SQL.
Ce type de vulnérabilité – qui ne touche pas toujours la plate-forme en elle-même – est régulièrement recensé sur Magento.
Il vient de faire l’objet d’un nouveau correctif, publié cette semaine sous la référence PRODSECBUG-2198.
Présente aussi bien dans la version open source de Magento que dans la version commerciale, la faille qu’élimine ce correctif affiche un haut score de criticité : 9/10. L’exploiter ne requiert pas d’authentification et le processus peut facilement être automatisé.
Après étude du correctif, Sucuri (fournisseur américain de solutions de sécurité) suggère aux utilisateurs de Magento de vérifier leurs journaux de connexion. Un grand nombre d’accès à l’entrée /catalog/product/frontend_action_synchronize est susceptible de refléter une attaque.
D’autres failles présentant un score de criticité supérieur à 9/10 sont corrigées pour l’occasion. L’une d’entre elles permet à un utilisateur authentifié et disposant des droits adéquats d’insérer du code malveillant dans des modèles d’e-mails ou de newsletters.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…