Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Критическая уязвимость в платформе электронной коммерции Magento"	+/–
Сообщение от opennews (?), 17-Фев-22, 11:07
В открытой платформе для организации электронной коммерции Magento, которая занимает около 10% рынка систем для создания интернет-магазинов, выявлена  критическая уязвимость (CVE-2022-24086), позволяющая выполнить код на сервере через отправку определённого запроса без прохождения аутентификации. Уязвимости присвоен уровень опасности 9.8 из 10... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56714
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Критическая уязвимость в платформе электронной коммерции Mag..."	–2 +/–
Сообщение от полураспад (?), 17-Фев-22, 11:07
> исправление сводится к очистке символов это что за костыль?
Ответить | Правка | Наверх | Cообщить модератору

	3. "Критическая уязвимость в платформе электронной коммерции Mag..."	+30 +/–
	Сообщение от Аноним (3), 17-Фев-22, 11:28
	Шел похапешник по $_REQUEST. Видит - eval() и include() простаивают без дела. Взял и выполнил пользовательские параметры как код.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Критическая уязвимость в платформе электронной коммерции Mag..."	+/–
	Сообщение от bugmenot (??), 17-Фев-22, 13:53
	Хорошая шутка :)
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Критическая уязвимость в платформе электронной коммерции Mag..."	+/–
	Сообщение от Аноним (28), 18-Фев-22, 11:33
	А я всегда отправляю пользовательский ввод в eval, без всяких там фильтров. И да мои сервисы работают от root, меня не разу не ломали
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	7. "Критическая уязвимость в платформе электронной коммерции Mag..."	+3 +/–
	Сообщение от Аноним (7), 17-Фев-22, 12:18
	Фильтрация входных данных это не костыль
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	10. "Критическая уязвимость в платформе электронной коммерции Mag..."	+1 +/–
	Сообщение от пох. (?), 17-Фев-22, 13:16
	Фильтрация "ниправильных" символов - это именно костыль. Который выскальзывает и больно бьет по балде, причем каждый раз, проблема только что макаки - необучаемы.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Критическая уязвимость в платформе электронной коммерции Mag..."	+1 +/–
	Сообщение от userd (ok), 17-Фев-22, 16:29
	Судя по регулярному выражению какие-то сырые данные "протекают" в шаблонизатор и там могут выполняться как код. Template injection. Правильное исправление требует времени, поскольку нужно найти все проблемные места, а пока только простая затычка.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	24. "Критическая уязвимость в платформе электронной коммерции Mag..."	+/–
	Сообщение от . (?), 17-Фев-22, 17:17
	Ну да, не ограничивать же данные допустимыми символами сразу на входе. Это не по пацански!
	Ответить | Правка | Наверх | Cообщить модератору

2. "Критическая уязвимость в платформе электронной коммерции Mag..."	–4 +/–
Сообщение от InuYasha (??), 17-Фев-22, 11:23
>поступивших от пользователя параметров Что, опять страдания по типизации? ) Или отрицательное количество посчитали? :D
Ответить | Правка | Наверх | Cообщить модератору

	19. "Критическая уязвимость в платформе электронной коммерции Mag..."	+4 +/–
	Сообщение от пох. (?), 17-Фев-22, 14:00
	Зачем, когда можно просто попытаться их выполнить как код? Вдруг там что хорошее?!
	Ответить | Правка | Наверх | Cообщить модератору

4. "Критическая уязвимость в платформе электронной коммерции Mag..."	+5 +/–
Сообщение от Michael Shigorin (ok), 17-Фев-22, 11:32
Дыркомагнито :( http://www.opennet.dev/keywords/magento.html
Ответить | Правка | Наверх | Cообщить модератору

	5. "Критическая уязвимость в платформе электронной коммерции Mag..."	+/–
	Сообщение от Аноним (5), 17-Фев-22, 11:38
	>Дыркомагнито Классный злодей в людях-Х
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Критическая уязвимость в платформе электронной коммерции Mag..."	+/–
	Сообщение от Дормидонт (?), 17-Фев-22, 13:29
	В людях xxx разве что
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Критическая уязвимость в платформе электронной коммерции Mag..."	+/–
	Сообщение от kusb (?), 17-Фев-22, 13:43
	Люди xxy
	Ответить | Правка | Наверх | Cообщить модератору

6. "Критическая уязвимость в платформе электронной коммерции Mag..."	–1 +/–
Сообщение от Аноним (6), 17-Фев-22, 12:01
Подождите, я что-то не понял. Magento, Mageia, и Manjaro -- это разное?
Ответить | Правка | Наверх | Cообщить модератору

	8. "Критическая уязвимость в платформе электронной коммерции Mag..."	+6 +/–
	Сообщение от ryoken (ok), 17-Фев-22, 12:51
	Угу. Даже не однофамильцы.
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Критическая уязвимость в платформе электронной коммерции Mag..."	+2 +/–
	Сообщение от Аноним (9), 17-Фев-22, 12:59
	Сидели вместе.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	14. "Критическая уязвимость в платформе электронной коммерции Mag..."	+1 +/–
	Сообщение от kusb (?), 17-Фев-22, 13:40
	Есть ещё магнетто - движок для портала dcpp
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

25. "Критическая уязвимость в платформе электронной коммерции Mag..."	+/–
Сообщение от жявамэн (ok), 17-Фев-22, 18:14
>php Ясна панятна.
Ответить | Правка | Наверх | Cообщить модератору

	27. "Критическая уязвимость в платформе электронной коммерции Mag..."	+3 +/–
	Сообщение от Аноним (27), 18-Фев-22, 02:31
	Вот жабам бы не квакать)
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема