Qu’ils exploitent l’édition Community ou Enterprise, les utilisateurs de Magento sont vivement encouragés à mettre à jour leur installation en appliquant le patch « Supee-7405 ».
Cet ensemble de correctifs élimine pas moins de 20 failles*, dont deux critiques.
L’une d’entre elles (APPSEC-1213) met potentiellement en danger des millions de sites e-commerce. Il aura fallu plus de deux mois à Magento pour la colmater.
Ses équipes avaient été averties le 10 novembre 2015 par Sucuri.
L’éditeur d’origine brésilienne attribuait alors à la vulnérabilité un score de criticité de 7/10, en la rapprochant de celle qui avait été découverte, quelques mois auparavant, dans le plugin Jetpack associé au CMS WordPress.
Pourquoi ce parallèle ? Dans les deux cas, on a affaire à une faille de type XSS (script inter-site) qui peut permettre à n’importe quel internaute de prendre le contrôle d’un serveur en injectant du code JavaScript malveillant.
Dans le cas de Magento, la brèche se trouve au niveau de l’interface d’administration, et plus précisément à l’adresse app/design/adminhtml/default/default/template/sales/order/view/info.phtml, associée au formulaire d’enregistrement des clients.
Il est possible de saisir, dans le champ « adresse e-mail », presque tout caractère imprimable (à l’exception de l’espace), aussi longtemps qu’on met la chaîne de caractères entre guillemets.
Résultat : Magento ne bronche pas quand on lui envoie une valeur de type “><script>alert(1);</script>”@sucuri.net. Et dès lors qu’un administrateur se connecte pour vérifier la commande ou l’enregistrement du client, le code s’exécute… Suffisant pour qu’un tiers puisse prendre le contrôle de la plate-forme, créer d’autres comptes administrateurs et voler des données.
Exploitable à distance, cette faille est présente dans « presque toutes les versions » de Magento Community Edition (1.9.2.3 et antérieures) et Enterprise Edition (1.14.2.3 et antérieures). En tête de liste, celles qui ne sont pas placées derrière un pare-feu et dont le panneau d’administration n’a pas été modifié.
* On notera la résorption d’une autre faille XSS critique associée au module de paiement PayFlow Pro, d’un problème de contournement des « captchas » (procédures destinées à écarter les robots) ou encore d’une fuite de données via les flux RSS.
Crédit photo : Shutter-Man – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…