Как Adobe в очередной раз латала дырявое корыто Magento

А вы знаете, какая CMS самая дырявая в мире? Нет, не WordPress! Самый напичканный багами движок – Magento. При этом речь идет не об устаревшей первой ветке движка, а современной второй…

Когда в CMS сквозняки гуляют

С Magento всегда какие-то крупные попадалова случаются. Например, в сентябре текущего года за несколько дней хакеры умудрились взломать около 2 тыс. коммерческих ресурсов, использующих этот движок. Но тогда столь огромный успех злоумышленников эксперты объяснили окончанием поддержки Magento 1.X. После чего эта версия CMS перестала получать обновления безопасности. Но, оказывается, что и Magento 2.X далека от идеала. Последним внеочередным патчем, выпущенным компанией Adobe для второй ветки движка, было исправлено девять уязвимостей. Причем восемь из них признаны экспертами критическими…

Кого латали и где?

В бюллетени безопасности, опубликованном в хэлповом разделе документации Magento, перечисляются версии движка, которые получили девять заплаток. В основном это устаревшие редакции движка, начиная с 2.3.5 и заканчивая 2.4.0. Баги, которые нейтрализовала команда разработчиков Adobe последним внеочередным патчем безопасности (выпущен 15 октября текущего года):

• Возможность обхода списка разрешений при загрузке файлов – позволяет злоумышленнику запускать любой код.
• SQL-инъекция – свободное чтение и запись информации в базу данных.
• Ошибка авторизации – несанкционированный доступ к списку клиентов интернет-магазина и его редактирование. А также изменение страниц сайта на Magento.
• Межсайтовый скриптинг – выполнение произвольного JavaScript-кода в пользовательском браузере.

И это описание лишь четырех исправленных багов (и их последствий) из девяти.

Стоит ли паниковать?

Magento – коммерческая CMS, которая пользуется популярностью среди бизнесменов. Особенно среди торговых ресурсов. Согласно статистике, ее используют более 250 тыс. сайтов. По состоянию на 2019 г. Magento принадлежало 3% рынка коммерческих движков. Но Magento трудно назвать сырой. Первая версия движка вышла в 2008 г. Компания Adobe приобрела CMS в 2018 г. Неужели более чем за двенадцать лет разработчики так и не смогли допилить Magento? И сколько в ней еще скрытых багов? Наверное, об этом лучше не знать. А чтоб спать спокойно, стоит отказаться от использования этой стремной торговой CMS… Рожденной в понедельник.