Una falla di tipo zero-day starebbe mettendo a rischio le istallazioni dell'e-commerce engine Open Source Magento dotate del plugin Magmi, una soluzione particolarmente diffusa che funge da database client per l'importazione di dati nell'applicazione; attualmente alcuni utenti malintenzionati starebbero già operando centinaia di tentativi di attacco basati sull'impiego di alcuni indirizzi IP con i quali rilevare le release vulnerabili di Magmi.
In sostanza la problematica rilevata potrebbe portare ad azioni di tipo directory traversal per l'accesso a file e informazioni, che teoricamente non dovrebbero essere raggiungibili, in seguito all'individuazione di lacune negli strumenti di validazione o sanitizzazione degli input; nel caso specifico l'intenzione degli attaccanti dovrebbe essere quella di accedere ad un XML contenente credenziali e a chiavi cifrate.
Il rischio citato non coinvolgerebbe però tutti gli store online basati su Magento che adottano Magmi, per spianare la strada agli attaccanti dovrebbe essere infatti necessaria una configurazione in cui entrambe le risorse precedentemente citate, nonché obbiettivo delle azioni malevole, siano presenti nella medesima directory; in linea generale il fatto che il plugin non sia stato installato nella directory di root dovrebbe diminuire le possibilità di veder compromessa la propria installazione.
Tecnicamente l'attacco potrebbe essere condotto in modo abbastanza semplice tramite una richiesta effettuata utilizzando il metodo GET, caratteristica che dovrebbe semplificare azioni malevole automatizzate; il team di Magento avrebbe già iniziato ad informare l'utenza riguardo al pericolo, agli utenti verrebbe consigliato di proteggere tramite password l'accesso alla directory coinvolta o di impostare una lista per il controllo degli accessi che renda la directory non direttamente accessibile.
Il repository di Magmi, anch'esso un progetto Open Source, è disponibile sia su GitHub che su Sourceforge; ad essere caratterizzata dalla vulnerabilità zero-day dovrebbe essere quello scaricabile da quest'ultimo in quanto il package non avrebbe più ricevuto aggiornamenti da circa un anno.
Via SpiderLabs
/https://www.html.it/app/uploads/2023/12/Android.jpg)
/https://www.html.it/app/uploads/2024/01/e-mail.png)
/https://www.html.it/app/uploads/2024/01/Microsoft-4.jpg)
/https://www.html.it/app/uploads/2024/01/PC.jpg)