Suivez-nous

E-commerce

Magento corrige une faille critique, mettez à jour votre CMS

Magento recommande à tous ses utilisateurs de mettre à jour leur CMS. Une faille critique a été corrigée.

Il y a

le

magento

Magento est une plateforme de gestion de contenus e-commerce qui a été rachetée en mai dernier par le groupe Adobe. Elle permet à quiconque de créer une boutique en ligne assez simplement, sur le même principe qu’un Prestashop, Woocommerce ou Wix.

Jeudi dernier, l’éditeur de la solution a publié un correctif pour une faille critique sous le nom de PRODSECBUG-2198. Comme toujours, de nombreux webmasters mettent du temps à réaliser la mise à jour de leur CMS (Content Management System), ce qui implique qu’une partie des 300 000 sites tournant sous Magento est encore vulnérable à un piratage.

Un business lucratif pour les pirates

Cette injection SQL est présente aussi bien dans la version commerciale que dans la version open-source de Magento. N’importe quel hacker peut ainsi récupérer les identifiants et mots de passe pour ensuite contrôler les accès admin à ce CMS.

S’il décider (malheureusement) d’aller au bout des choses, il pourra injecter un script pour récupérer les codes de cartes bancaires (clonage de carte, ou card skimming) pour toutes les transactions effectuées par des clients sur ces sites marchands. Ce type de piratage est devenu très populaire en raison du potentiel de gains que peuvent en tirer les hackers.

Jérôme Segura, analyste senior de la société Malwarebytes s’inquiète : « Il n’y a aucun doute sur le fait que les pirates soient en train d’essayer de reverser le patch ou attendent qu’une solution soit publiée pour exploiter cette faille à grande échelle. Quand il s’agit de piratages de sites sous Magento, le clonage de cartes est le type d’infection le plus populaire en raison de leur rendement élevé. Par conséquent, on peut logiquement s’attendre à voir une nouvelle vague d’attaques liée à cette nouvelle vulnérabilité ».

Source

1 commentaire

1 Commentaire

  1. max242

    30 mars 2019 at 11 h 11 min

    Ils ferraient mieux de trouver une solution pour rendre cette mise à jour automatique, ou de l’imposer dès que quelqu’un se connecte au back office. Ca permettrait d’éviter que les vulnérabilités trainent à être corrigées. J’ai un peu de mal à comprendre qu’un site prenne parfois un temps infini à appliquer de telles mises à jour compte tenu de l’importance du ecommerce, en gros c’est parfois un peu trop au bon vouloir de la faire ou non.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Dernières news

Les bons plans

Les tests