Разработчики CMS Magento подготовили патч, который устраняет серьезный баг в платформе для электронной коммерции. Как следует из бюллетеня безопасности, уязвимость позволяет злоумышленнику установить на целевой веб-ресурс вредоносный инжект и выполнить его. Пользователям затронутых систем рекомендуют немедленно установить обновление, а также проверить сайты на наличие сторонних скриптов.
Патч для критического бага в Magento:
Обновление устраняет уязвимость CVE-2019-8144 в Magento Commerce 2.3.1 и 2.3.2, а также в ранних версиях расширения Page Builder. Недостаток связан с проблемами в реализации методов предварительного просмотра Page Builder и позволяет неавторизованному злоумышленнику дистанционно загрузить на страницы интернет-магазина сторонние скрипты. Критический RCE-баг получил от специалистов максимальный рейтинг по шкале CVSS — 10 баллов.
Месяцем ранее разработчики закрыли эту проблему выпуском Magento 2.2.10 и 2.3.3 для веток Open Source и Commerce, а также специальным обновлением версии 2.3.2-p1 до 2.3.2-p2.
Нынешний патч предназначен для тех, кто по каким-либо причинам не может перейти на актуальные релизы системы. Обновление затрагивает только платную линейку продуктов Magento; для сайтов, работающих на устаревших сборках некоммерческого движка, заплатки не предусмотрены.
Побочные эффекты обновления Magento:
Разработчики отмечают, что обновление закрывает уязвимость, но не устраняет результаты ее эксплуатации. Если злоумышленники успели воспользоваться багом и внедрить свой скрипт на сайт, администраторам необходимо удалить его самостоятельно. Создатели системы рекомендуют провести тщательный аудит веб-ресурса, чтобы исключить наличие вредоносных инжектов.
Установка патча сделает невозможным редактирование отдельных шаблонов электронной почты в Magento 2.3.1, однако эта функция по-прежнему будет доступна при обращении к ним из сетки этих объектов.
Пользователям облачного варианта платформы устанавливать патч не нужно — Magento Commerce Cloud получила обновления в автоматическом режиме. Разработчики предупреждают, что администраторам системы будут недоступны страницы предварительного просмотра товаров, блоков и динамических блоков, но обещают восстановить эту возможность в ближайшее время.
Уязвимость не затронула сайты, работающие на Magento 1.x, однако пользователи предыдущей версии платформы вскоре столкнутся с более серьезной проблемой. В июне 2020 года разработчики намерены прекратить поддержку устаревших релизов и не выпускать обновления безопасности для них. По разным подсчетам, на актуальную версию движка все еще не перешли от 200 тыс. до 240 тыс. веб-ресурсов.
Источник: https://threatpost.ru/magento-reports-10-cvss-bug-fixes-it/34819/