Magento: une vulnérabilité d’injection SQL découverte

Yefien 3 avril 2019 Sécurité Informatique et CyberSécurité, Tout sur la cybersécurité et la sécurité informatique Commenter 1,499 Vues

Si votre entreprise de e-commerce fonctionne sur la plate-forme Magento, vous devez faire attention à vos données.
Magento a publié hier de nouvelles versions (des mises à jour) de son logiciel de gestion de contenu permettant de résoudre 37 vulnérabilités de sécurité récemment découvertes.

Détenue par Adobe depuis mi-2018, Magento est l’une des plates-formes de système de gestion de contenu (CMS) les plus populaires. Elle alimente 28% des sites Web sur Internet avec plus de 250 000 marchands utilisant la plate-forme de commerce électronique open source.

Bien que la plupart des problèmes signalés ne puissent être exploités que par des utilisateurs authentifiés, l’une des failles les plus graves de Magento est une vulnérabilité d’injection SQL qui peut être exploitée par des attaquants distants non authentifiés.

Lire aussi :
Le temps est-il venu maintenant de voter via Internet?

Lire aussi: Comment vérifier que vos plugins et site web sous WordPress sont fiables ?

Les versions de Magento concernées incluent:

  • Magento Open Source avant 1.9.4.1
  • Magento Commerce avant la 1.14.4.1
  • Magento Commerce 2.1 avant 2.1.17
  • Magento Commerce 2.2 avant la 2.2.8
  • Magento Commerce 2.3 avant 2.3.1

Étant donné que les sites Magento stockent non seulement les informations des utilisateurs, mais contiennent également l’historique des commandes et les informations financières de leurs clients, cette faille pourrait conduire à des attaques catastrophiques en ligne.

Lire aussi: Les pires mots de passe à ne pas utiliser

Compte tenu de la nature sensible des données que les sites Web de commerce électronique de Magento traitent quotidiennement et du risque que représente la vulnérabilité de SQL, les développeurs de Magento ont décidé de ne pas divulguer les détails techniques de la faille.

Lire aussi :
1xBET Côte d'Ivoire: pariez à partir 450 FCFA et beneficiez de 100% de bonus

Outre la vulnérabilité SQLi, Magento a également corrigé la falsification de requêtes intersites (CSRF), le scripting intersite (XSS), l’exécution de code à distance (RCE) et d’autres failles, mais l’exploitation de la majorité de ces failles nécessite l’authentification des attaquants. le site avec un certain niveau de privilèges.

Les propriétaires de magasins en ligne sont invités à mettre à niveau/jour leurs sites Web de commerce électronique vers les versions récemment corrigées dès que possible avant que des pirates informatiques ne commencent à exploiter cette faille afin de compromettre leurs sites Web et de voler les informations de carte de paiement de vos clients.

Tags

A Propos Yefien

Voir aussi

Africa Web Festival 2023 : l’Afrique se prépare à l’émergence d’un citoyen numérique bien formé

L’Africa Web Festival, le plus grand événement numérique de l’Afrique francophone, revient pour sa 10e …

Laisser un commentaire

Powered by Yefien | Designed by YEFIEN Communication
© MONASTUCE Copyright 2024, All Rights Reserved
%d blogueurs aiment cette page :