The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Критическая уязвимость в платформе электронной коммерции Magento"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в платформе электронной коммерции Magento"  +/
Сообщение от opennews (?), 17-Фев-22, 11:07 
В открытой платформе для организации электронной коммерции Magento, которая занимает около 10% рынка систем для создания интернет-магазинов, выявлена  критическая уязвимость (CVE-2022-24086), позволяющая выполнить код на сервере через отправку определённого запроса без прохождения аутентификации. Уязвимости присвоен уровень опасности 9.8 из 10...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56714

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Критическая уязвимость в платформе электронной коммерции Mag..."  –2 +/
Сообщение от полураспад (?), 17-Фев-22, 11:07 
> исправление сводится к очистке символов

это что за костыль?

Ответить | Правка | Наверх | Cообщить модератору

3. "Критическая уязвимость в платформе электронной коммерции Mag..."  +30 +/
Сообщение от Аноним (3), 17-Фев-22, 11:28 
Шел похапешник по $_REQUEST. Видит - eval() и include() простаивают без дела. Взял и выполнил пользовательские параметры как код.
Ответить | Правка | Наверх | Cообщить модератору

18. "Критическая уязвимость в платформе электронной коммерции Mag..."  +/
Сообщение от bugmenot (??), 17-Фев-22, 13:53 
Хорошая шутка :)
Ответить | Правка | Наверх | Cообщить модератору

28. "Критическая уязвимость в платформе электронной коммерции Mag..."  +/
Сообщение от Аноним (28), 18-Фев-22, 11:33 
А я всегда отправляю пользовательский ввод в eval, без всяких там фильтров. И да мои сервисы работают от root, меня не разу не ломали
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

7. "Критическая уязвимость в платформе электронной коммерции Mag..."  +3 +/
Сообщение от Аноним (7), 17-Фев-22, 12:18 
Фильтрация входных данных это не костыль
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

10. "Критическая уязвимость в платформе электронной коммерции Mag..."  +1 +/
Сообщение от пох. (?), 17-Фев-22, 13:16 
Фильтрация "ниправильных" символов - это именно костыль. Который выскальзывает и больно бьет по балде, причем каждый раз, проблема только что макаки - необучаемы.

Ответить | Правка | Наверх | Cообщить модератору

23. "Критическая уязвимость в платформе электронной коммерции Mag..."  +1 +/
Сообщение от userd (ok), 17-Фев-22, 16:29 
Судя по регулярному выражению какие-то сырые данные "протекают" в шаблонизатор и там могут выполняться как код. Template injection. Правильное исправление требует времени, поскольку нужно найти все проблемные места, а пока только простая затычка.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

24. "Критическая уязвимость в платформе электронной коммерции Mag..."  +/
Сообщение от . (?), 17-Фев-22, 17:17 
Ну да, не ограничивать же данные допустимыми символами сразу на входе. Это не по пацански!

Ответить | Правка | Наверх | Cообщить модератору

2. "Критическая уязвимость в платформе электронной коммерции Mag..."  –4 +/
Сообщение от InuYasha (??), 17-Фев-22, 11:23 
>поступивших от пользователя параметров

Что, опять страдания по типизации? ) Или отрицательное количество посчитали? :D

Ответить | Правка | Наверх | Cообщить модератору

19. "Критическая уязвимость в платформе электронной коммерции Mag..."  +4 +/
Сообщение от пох. (?), 17-Фев-22, 14:00 
Зачем, когда можно просто попытаться их выполнить как код? Вдруг там что хорошее?!

Ответить | Правка | Наверх | Cообщить модератору

4. "Критическая уязвимость в платформе электронной коммерции Mag..."  +5 +/
Сообщение от Michael Shigorinemail (ok), 17-Фев-22, 11:32 
Дыркомагнито :(

https://www.opennet.ru/keywords/magento.html

Ответить | Правка | Наверх | Cообщить модератору

5. "Критическая уязвимость в платформе электронной коммерции Mag..."  +/
Сообщение от Аноним (5), 17-Фев-22, 11:38 
>Дыркомагнито

Классный злодей в людях-Х

Ответить | Правка | Наверх | Cообщить модератору

12. "Критическая уязвимость в платформе электронной коммерции Mag..."  +/
Сообщение от Дормидонтemail (?), 17-Фев-22, 13:29 
В людях xxx разве что
Ответить | Правка | Наверх | Cообщить модератору

17. "Критическая уязвимость в платформе электронной коммерции Mag..."  +/
Сообщение от kusb (?), 17-Фев-22, 13:43 
Люди xxy
Ответить | Правка | Наверх | Cообщить модератору

6. "Критическая уязвимость в платформе электронной коммерции Mag..."  –1 +/
Сообщение от Аноним (6), 17-Фев-22, 12:01 
Подождите, я что-то не понял. Magento, Mageia, и Manjaro -- это разное?
Ответить | Правка | Наверх | Cообщить модератору

8. "Критическая уязвимость в платформе электронной коммерции Mag..."  +6 +/
Сообщение от ryoken (ok), 17-Фев-22, 12:51 
Угу. Даже не однофамильцы.
Ответить | Правка | Наверх | Cообщить модератору

9. "Критическая уязвимость в платформе электронной коммерции Mag..."  +2 +/
Сообщение от Аноним (9), 17-Фев-22, 12:59 
Сидели вместе.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

14. "Критическая уязвимость в платформе электронной коммерции Mag..."  +1 +/
Сообщение от kusb (?), 17-Фев-22, 13:40 
Есть ещё магнетто - движок для портала dcpp
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

25. "Критическая уязвимость в платформе электронной коммерции Mag..."  +/
Сообщение от жявамэн (ok), 17-Фев-22, 18:14 
>php

Ясна панятна.

Ответить | Правка | Наверх | Cообщить модератору

27. "Критическая уязвимость в платформе электронной коммерции Mag..."  +3 +/
Сообщение от Аноним (27), 18-Фев-22, 02:31 
Вот жабам бы не квакать)
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру