Krytyczna luka w Amasty Order Attributes dla Magento 2 umożliwiająca nieautoryzowany upload plików
Krytyczna luka w Amasty Order Attributes dla Magento 2 umożliwia nieautoryzowany upload plików i zdalne wykonanie kodu. Zalecana szybka aktualizacja.
- CVSS
- 9.3 CRITICAL
- EPSS
- 90.5%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka Amasty Order Attributes dla Magento 2 w wersjach przed 4.0.0 zawiera krytyczną lukę umożliwiającą nieautoryzowany upload dowolnych plików do katalogu mediów sklepu. Atakujący mogą przesyłać pliki PHP, co może prowadzić do zdalnego wykonania kodu lub innych ataków, takich jak hostowanie malware czy XSS.
Wpływ biznesowy
Luka ta stanowi poważne zagrożenie dla sklepów internetowych korzystających z podatnej wersji wtyczki, ponieważ umożliwia atakującym przejęcie kontroli nad serwerem lub wstrzyknięcie złośliwego kodu. Może to skutkować utratą danych, przerwami w działaniu sklepu oraz naruszeniem zaufania klientów.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie wtyczki Amasty Order Attributes do wersji 4.0.0 lub nowszej. W przypadku braku możliwości aktualizacji, należy ograniczyć dostęp do katalogu mediów, przeglądać logi pod kątem podejrzanej aktywności oraz rozważyć wdrożenie dodatkowych mechanizmów kontroli uploadu plików.