Na blogu Ambionics Security opublikowane zostały dziś szczegóły podatności w silniku Magento umożliwiające wykonanie ataku Blind SQL Injection mogącego zakończyć się pobraniem zawartości bazy danych. Magento to silnik eCommerce, na którym działa ponad 200 tysięcy sklepów internetowych. Atak nie wymaga uwierzytelnienia. Błąd zawarty jest w obsłudze zapytań za pomocą biblioteki MySQL PDO (Magento może też pracować używając MySQLi) zarówno w wersjach komercyjnych jak i Community Edition. Pomimo tego, że udało się wykorzystać lukę poprzez funkcjonalność dostępną od wersji 2.2.0, błąd występuje także w wcześniejszych wersjach. Masz Magento? Łataj szybko. Aktualizacja łatająca tą i kilka innych luk dostępna jest na stronie…
Mierzymy bezpieczeństwo