Sécurité : Magento reste en proie aux injections SQL

Comment acheter une montre de luxe pour trois fois rien ? En piratant un site e-commerce.

Check Point avait, voilà plus de quatre ans, choisi cette approche pour communiquer sur une faille que deux de ses chercheurs avaient découverte dans Magento.

La plate-forme e-commerce appartenait alors encore à eBay (qui l’a depuis lors cédée, Adobe s’en emparant finalement pour près de 2 milliards de dollars).

La faille en question permettait d’accéder aux bases de données des sites e-commerce. Et par là même, entre autres, de créer des comptes administrateurs… en capacité notamment de changer le prix de tout article.

L’accès aux bases de données se faisait par injection SQL.

Ça s’en va et ça revient

Ce type de vulnérabilité – qui ne touche pas toujours la plate-forme en elle-même – est régulièrement recensé sur Magento.

Il vient de faire l’objet d’un nouveau correctif, publié cette semaine sous la référence PRODSECBUG-2198.

Présente aussi bien dans la version open source de Magento que dans la version commerciale, la faille qu’élimine ce correctif affiche un haut score de criticité : 9/10. L’exploiter ne requiert pas d’authentification et le processus peut facilement être automatisé.

Après étude du correctif, Sucuri (fournisseur américain de solutions de sécurité) suggère aux utilisateurs de Magento de vérifier leurs journaux de connexion. Un grand nombre d’accès à l’entrée /catalog/product/frontend_action_synchronize est susceptible de refléter une attaque.

D’autres failles présentant un score de criticité supérieur à 9/10 sont corrigées pour l’occasion. L’une d’entre elles permet à un utilisateur authentifié et disposant des droits adéquats d’insérer du code malveillant dans des modèles d’e-mails ou de newsletters.