Критична уразливість завантаження файлів в Amasty Order Attributes для Magento 2

Критична уразливість у Amasty Order Attributes для Magento 2 дозволяє неавторизоване завантаження файлів і віддалене виконання коду. Оновіть плагін для захисту.
CVE-2026-53787CVSS 9.3Web

Критична уразливість завантаження файлів в Amasty Order Attributes для Magento 2

Критична уразливість у Amasty Order Attributes для Magento 2 дозволяє неавторизоване завантаження файлів і віддалене виконання коду. Оновіть плагін для захисту.

CVSS
9.3 CRITICAL
EPSS
90.5%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У Amasty Order Attributes для Magento 2 версій до 4.0.0 виявлено критичну уразливість, що дозволяє неавторизованим зловмисникам завантажувати будь-які файли у медіа-каталог магазину без перевірки сесії чи автентифікації. Це може призвести до віддаленого виконання коду, розміщення шкідливого ПЗ або атак типу XSS.

Бізнес-вплив

Для власників інфраструктури Magento 2 ця уразливість створює серйозний ризик компрометації серверів, особливо якщо медіа-каталог дозволяє виконання PHP. Зловмисники можуть отримати контроль над сервером, що загрожує безпеці даних і стабільності бізнес-процесів. Відсутність автентифікації при завантаженні файлів значно підвищує ризик атак.

Рекомендовані дії адміністратора

Рекомендується негайно оновити Amasty Order Attributes до версії 4.0.0 або новішої, перевірити налаштування дозволів у медіа-каталозі, заборонити виконання PHP у цій директорії, провести аудит логів на предмет підозрілої активності та обмежити доступ до завантаження файлів. Якщо оновлення недоступне, слід розглянути тимчасові заходи з обмеження доступу до upload endpoint.

Джерела