Эксперты Sucuri обнаружили ошибку XSS во всех платформах для электронной коммерции Magento Community Edition и Enterprise Edition до версии 1.9.2.3 и 1.14.2.3. Magento активно используется для создания онлайн-магазинов. В частности, ее использует интернет-аукцион eBay. В зоне риска оказались около миллионы магазинов по всему миру.
Хакеры могут использовать уязвимость, чтобы внедрить вредоносный код в регистрационные формы клиентов. Ошибка позволяет осуществить XSS-атаку путем добавления JavaScript-кода к адресу электронной почты, введенному на странице регистрации пользователя.
Злоумышленник может вставить в поле комментария специально сформированный JavaScript-сценарий. Зловредный код будет выполнен в тот момент, когда администратор интернет-магазина просматривает размещенные пользователями заказы. У взломщиков появляется возможность контролировать сайт, они могут создать новые административные модули и украсть информацию о покупателях.
Уязвимость затрагивает все версии Magento CE и EE до 2.0.1. Разработчикам удалось исправить две "дырки" в программе. Однако ИМ все еще потенциально могут стать жертвами кибератаки, если в ближайшее время не обновят платформу до последней версии.
В апреле прошлого года компания Check Point Software Technologies обнаружила критическую уязвимость в отдаленном исполнении кода в платформе Magento. Обнаруженная уязвимость, в случае использования ее злоумышленниками, позволяла получить доступ к информации о кредитных картах, финансовых и персональных данных покупателей. То есть обойти механизмы безопасности и получить доступ к учетной записи администратора, а значит и контроль над базой данных интернет-магазина.
Следует отметить, что покупатели во всем мире склонны опасаться доверять свои платежные данные интернет-сервисам. Поэтому сообщение о подобной уязвимости может негативно сказаться на отношении пользователей к ИМ на этой платформе.
В июле "Рейтинг Рунета" определил лучшие CMS. В номинации Open Source CMS Magento заняла шестую позицию, потеснив TYPO3 CMS и ImageCMS Corporate Free.
 |
Андрей С.
Торговля (Одежда, обувь, аксессуары, мини-компания) |
Собственно у меня была похожая ситуация. Наблюдалась на Chrome для ПК, для мобильных не проверял. Сейчас установил ssl сертификат от комодо, бесплатно на 90 дней. Если все будет нормально куплю готовой ssl
Ну когда лажают с сертификатом владельцы магазинов это объяснимо, но когда платежная система, то вот это я понять уже ну никак не могу...
Как можно было купить сертификаты или использовать ПО с криптомодулями, которые не проходят проверку в самом популярном браузере то ? Они что свой сервис вообще не тестируют что ли ?
P.S. не прошло и дня после некоторого участия заинтересованных профильных СМИ и Яндекс уже исправил проблемы с сертификатом
Свернуть
 |
|
