Abbiamo recentemente appreso di una grave vulnerabilità nella piattaforma Zend su cui è costruito Magento. La presente nota fornisce informazioni su come i clienti possono accedere e installare una patch che risolve questo problema.

Il problema

La vulnerabilità potenzialmente permette a un utente malintenzionato di leggere qualsiasi file sul server web in cui è attivata la funzionalità Zend XMLRPC. Ciò potrebbe includere i file delle password, file di configurazione, e forse anche database se sono memorizzati sulla stessa macchina del server web Magento.

Soluzione

Si raccomanda che tutte le implementazioni Magento installare l'ultima patch appropriata per la piattaforma:

  • Magento Enterprise Edition e Professional Edition commercianti:
  • È possibile accedere alla patch di aggiornamento Zend Security Patch e supporto per il prodotto nella sezione Downloads del tuo account Magento. Account log-in è necessario.
  • Scarica

Soluzione

Se la patch non può essere applicato immediatamente, le seguenti istruzioni possono essere seguiti per disattivare temporaneamente la funzionalità RPC che contiene la vulnerabilità. Si prega di essere informati, eventuali integrazioni che si basano sulla funzionalità XMLRPC API non funzionerà più dopo questa soluzione viene implementata.

  • 1. Sul server web Magento, passare alla www-root in cui sono memorizzati i file di Magento app.
  • 2. Nel wwwroot, navigare in / app / code / core / Mage / Api / controllers.
  • 3. Aprire XmlrpcController.php per la modifica.
  • 4. Commentare o eliminare il corpo del metodo: indexAction pubblica ()
  • 5. Salvare le modifiche.

Note aggiuntive

Gli utenti che non riescono o non conoscono il sistema di Magento sono invitati a richiedere un'ora di assistenza Magento dal link: Programmatore Magento. Come sempre, si consiglia il mantenimento di un up-to-data di installazione della piattaforma Magento, come il modo migliore per stare sicuri.