Il famoso plug in MAGMI per Magento, ha presentato alcune vulnerabilità lato sicurezza, che possono consentire agli hacker di eseguire codice in remoto. Questo ovviamente comporta un grave problematica di sicurezza, in grado di compromettere l’intero sistema.
MAGMI, sta per Magento Mass Import e questo strumento non è niente altro che un database in PHP, realizzato per gestione dei cataloghi in Magento. Questo plug è davvero molto diffuso nel mondo, quindi una sua violazione può portare diverse problematiche a moltissime attività E-Commerce.
Quali sono le vulnerabilità di Magmi per Magento?
La prima delle vulnerabilità riscontrate, la CVE-2020-5777, farebbe in modo di aggirare il sistema di autenticazione negli store Magento che utilizzano MAGMI fino alla versione 0.7.23. Dalla versione successiva, ossia 0.7.24, questo problema fortunatamente non è stato riscontrato.
Per quanto riguarda invece la seconda vulnerabilità,CVE-2020-5776, si sa che la criticità riguarda un file specifico, /index.php/newsletter/subscriber/new/. Attraverso questa vulerabilità l’hacker può dirottare l’accesso a Magento.
Come?
L’hacker induce l’admin del sito ad aprire un link mentre è autenticato nel CMS. Il problema è che per questa vulnerabilità non è stata emessa ancora alcuna patch.
Cosa suggeriscono gli esperti?
Il consiglio che viene dato dagli esperti del settore è quello di disattivare (o disinstallare direttamente) il plug in, almeno fino a quando non saranno disponibili aggiornamenti o patch in grado di risolvere questa criticità.
Questa operazione diventa fondamentale per la corretta tutela dei dati dei clienti e del proprietario dello store. Ti consigliamo quindi di procedere per il momento in questo modo. Non appena avremo novità sul rilascio di nuovi aggiornamenti, lo scriveremo.
Quindi continua a seguirci!
Fonte: securityinfo