Problemi di sicurezza Magento: come risolvere il bug Stored XSS


Postato in data gennaio 28th, da Riccardo Esposito in News. No Comments

Stai usando Magento per il tuo ecommerce? Ottima scelta, è un CMS potente e versatile. Ma anche questa piattaforma ha i suoi problemi. Proprio in questi giorni, infatti, è stato reso noto un bug che richiede un aggiornamento immediato.
bug Stored XSS
La notizia è apparsa sul blog sucuri.net e il problema abbraccia diverse versioni del CMS. Il bug stored XSS si trova in tutte le versioni di Magento Community Edition ed Enterprise Edition precedenti alle versioni 1.9.2.3 e 1.14.2.3.

In cosa consiste il bug?

Si tratta di una situazione pericolosa per chi lavora con gli ecommerce: il bug permette ai malintenzionati di inserire Javascript malevolo nei form utilizzati dai nuovi utenti per la registrazione. Questo permette allo script di eseguire operazioni sfruttando i privilegi di amministratore, causando seri problemi.

“During customer registration on the storefront, a user can provide an email address that contains JavaScript code. Magento does not properly validate this email and executes it in Admin context when viewing the order in the backend. This JavaScript code can steal an administrator session or act on behalf of a store administrator” – The register.

Come puoi ben immaginare, i problemi sono enormi. Il bug può essere utilizzato per prendere possesso di un negozio online, acquisendo i dati degli utenti e degli amministratori. In altre parole, se usi una piattaforma Magento devi aggiornare subito.

Come risolvere il problema

Installa gli aggiornamenti il prima possibile, e se non puoi farlo assicurati di avere un buon firewall a disposizione. Dove si trovano e come si installano gli aggiornamenti? Ci sono due patch che puoi usare, dipende dalla versione di Magento che usi:

Non sai come installare gli aggiornamenti di Magento? Nessun timore: puoi seguire la guida che abbiamo pubblicato sul blog Serverplan. E in ogni caso puoi contattarci via email, ticket o telefono per avere tutte le indicazioni. Trovi tutti i contatti nella pagina dedicata: www.serverplan.com/about-us/contatti.

Riccardo Esposito

Blogger per Serverplan, webwriter freelance e autore di My Social Web. Scrivo ogni giorno. Ho pubblicato un libro dedicato al mondo del blogging. Ah, l'ho già detto che scrivo?




Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Shares