[ad_1]
\n
La derni\u00e8re mise \u00e0 jour de s\u00e9curit\u00e9 pour Magento corrige une faille critique qui peut permettre \u00e0 des tiers de prendre le contr\u00f4le de sites e-commerce.
\nComment acheter une montre de luxe pour trois fois rien ? En piratant un site e-commerce.
\nCheck Point avait, voil\u00e0 plus de quatre ans, choisi cette approche pour communiquer sur une faille que deux de ses chercheurs avaient d\u00e9couverte dans Magento.
\nLa plate-forme e-commerce appartenait alors encore \u00e0 eBay (qui l\u2019a depuis lors c\u00e9d\u00e9e, Adobe s\u2019en emparant finalement pour pr\u00e8s de 2 milliards de dollars).
\nLa faille en question permettait d\u2019acc\u00e9der aux bases de donn\u00e9es des sites e-commerce. Et par l\u00e0 m\u00eame, entre autres, de cr\u00e9er des comptes administrateurs\u2026 en capacit\u00e9 notamment de changer le prix de tout article.
\nL\u2019acc\u00e8s aux bases de donn\u00e9es se faisait par injection SQL.
\n\u00c7a s\u2019en va et \u00e7a revient
\nCe type de vuln\u00e9rabilit\u00e9 \u2013 qui ne touche pas toujours la plate-forme en elle-m\u00eame \u2013 est r\u00e9guli\u00e8rement recens\u00e9 sur Magento.
\nIl vient de faire l\u2019objet d\u2019un nouveau correctif, publi\u00e9 cette semaine sous la r\u00e9f\u00e9rence PRODSECBUG-2198.
\nPr\u00e9sente aussi bien dans la version open source de Magento que dans la version commerciale, la faille qu\u2019\u00e9limine ce correctif affiche un haut score de criticit\u00e9 : 9\/10. L\u2019exploiter ne requiert pas d\u2019authentification et le processus peut facilement \u00eatre automatis\u00e9.
\nApr\u00e8s \u00e9tude du correctif, Sucuri (fournisseur am\u00e9ricain de solutions de s\u00e9curit\u00e9) sugg\u00e8re aux utilisateurs de Magento de v\u00e9rifier leurs journaux de connexion. Un grand nombre d\u2019acc\u00e8s \u00e0 l\u2019entr\u00e9e \/catalog\/product\/frontend_action_synchronize est susceptible de refl\u00e9ter une attaque.
\nD\u2019autres failles pr\u00e9sentant un score de criticit\u00e9 sup\u00e9rieur \u00e0 9\/10 sont corrig\u00e9es pour l\u2019occasion. L\u2019une d\u2019entre elles permet \u00e0 un utilisateur authentifi\u00e9 et disposant des droits ad\u00e9quats d\u2019ins\u00e9rer du code malveillant dans des mod\u00e8les d\u2019e-mails ou de newsletters.<\/p>\n