• Κίνδυνοι ασφαλείας για τους ιστότοπους ηλεκτρονικού εμπορίου σε παγκόσμιο επίπεδο
• Επείγουσα ανάγκη για διόρθωση ελαττωμάτων ασφαλείας σε ιστότοπους ηλεκτρονικού εμπορίου
• Απειλές ασφαλείας για την λειτουργία των ιστότοπων ηλεκτρονικού εμπορίου σε παγκόσμιο επίπεδο
• Αναγκαία αντιμετώπιση ελαττωμάτων ασφαλείας σε ιστότοπους ηλεκτρονικού εμπορίου παγκοσμίως

Μια καταστροφική

ευπάθεια

ανακαλύφθηκε πρόσφατα στο

Adobe

Commerce και στο Magento, αλλά οι ιστότοποι ηλεκτρονικού εμπορίου που λειτουργούν αυτές τις πλατφόρμες φαίνονται σε μεγάλο βαθμό να μην ενδιαφέρονται να εφαρμόσουν μια ενημέρωση κώδικα.

Ως αποτέλεσμα, «εκατομμύρια» τοποθεσίες είναι ανοιχτές σε επιθέσεις που θα μπορούσαν να έχουν καταστροφικές συνέπειες, προειδοποιούν οι ειδικοί.

Όπως αναφέρεται από


BleepingComputer


, ερευνητές κυβερνοασφάλειας από τη Sansec ανακάλυψαν έναν ακατάλληλο περιορισμό της ευπάθειας αναφοράς εξωτερικής οντότητας XML («XXE») και το ονόμασαν «CosmicSting». Τώρα παρακολουθείται ως CVE-2024-34102 και έχει βαθμολογία σοβαρότητας 9,8 (κρίσιμο).

Patch και μετριασμούς

“

Το

CosmicSting (γνωστός και ως CVE-2024-34102) είναι το χειρότερο σφάλμα που έχει χτυπήσει τα καταστήματα Magento και Adobe Commerce τα τελευταία δύο χρόνια”, δήλωσε η Sansec σε μια συμβουλευτική για την ασφάλεια. “Από μόνο του, επιτρέπει σε οποιονδήποτε να διαβάζει ιδιωτικά αρχεία (όπως αυτά με κωδικούς πρόσβασης). Ωστόσο, σε συνδυασμό με το πρόσφατο σφάλμα iconv στο Linux, μετατρέπεται στον εφιάλτη ασφαλείας της απομακρυσμένης εκτέλεσης κώδικα.”

Ακολουθούν οι εκδόσεις προϊόντων που επηρεάζονται από το CosmicSting:

• Adobe Commerce 2.4.7 και παλαιότερες εκδόσεις, συμπεριλαμβανομένων των 2.4.6-p5, 2.4.
  
  5
  
  -p7, 2.4.4-p8
• Adobe Commerce Extended Support 2.4.3-ext-7 και παλαιότερη, 2.4.2-ext-7 και παλαιότερη, 2.4.1-ext-7 και παλαιότερη, 2.4.0-ext-7 και παλαιότερη έκδοση, 2.3.7-p4- ext-7 και νωρίτερα.
• Magento Open Source 2.4.7 και παλαιότερες εκδόσεις, συμπεριλαμβανομένων 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
• Adobe Commerce Webhooks Plugin εκδόσεις 1.2.0 έως 1.4.0

Εάν η επιχείρησή σας εκτελεί οποιοδήποτε από τα παραπάνω, φροντίστε να εφαρμόσετε το patch – το οποίο ήταν ήδη διαθέσιμο – το συντομότερο δυνατό.

Η Sansec λέει ότι παρά την ευπάθεια που δημοσιοποιήθηκε πριν από περισσότερο από μία εβδομάδα, περίπου το 75% των χρηστών του Adobe Commerce και του Magento δεν έχουν ακόμη διορθωθεί. Προς το παρόν, δεν υπάρχουν στοιχεία για κακοποίηση στη φύση και η Adobe δεν δημοσίευσε τεχνικές λεπτομέρειες ώστε να μην δώσει στους χάκερ καμία υπόδειξη. Ωστόσο, η Sansec λέει ότι η ενημερωμένη έκδοση κώδικα μπορεί να δημιουργηθεί αντίστροφη μηχανική και να χρησιμοποιηθεί για να μάθει περισσότερα για το σφάλμα.

Όσοι δεν μπορούν να εφαρμόσουν το έμπλαστρο αμέσως, συνιστάται να εφαρμόσουν τους μετριασμούς που βρίσκονται στο


αυτός ο σύνδεσμος


.