مجنتو یک پلتفرم تجارت الکترونیک و فروشگاه ساز متن باز و مبتنی بر PHPاست که بیش از ۲۵۰،۰۰۰فروشگاه آنلاین در سراسر جهان از آن بهره میبرند و حدود 50 میلیارد دلار در سال به دست میآورد. این آمار به همراه این واقعیت که مجنتو تقریبا تمامی اطلاعات مشتریان را ذخیره میکند، آن را به یک هدف بسیار حساس تبدیل میکند.
یک آسیبپذیری اجرای کد از راه دور (Remote code execution) در magento گزارش شده که میتواند به مهاجم این امکان را بدهد که بتواند بدون احراز هویت کدهای PHP دلخواه را از طریق APIهای REST یا SOAPروی سیستم قربانی اجرا کرده و به اطلاعات حساس کاربران مانند اطلاعات کارت اعتباری و سایر اطلاعات دست پیدا کند. این موضوع به این دلیل اتفاق میافتد که مجنتو نمیتواند یک کاربر را برای مقداردهی خطرناک به ویژگی "data_" از نمونهی "payment" از طریق متغیر "method"از تابع "()getData"، به درستی محدود کند. این گزارش به جزییات آن و روش مقابله با خطرات امنیتی مرتبط میپردازد
- 2