Исправление проблем с безопасностью в CS-Cart и Multi-Vendor 4.6.1 — 4.15.1

Недавно наш партнер ASAP Lab провел аудит безопасности и обнаружил уязвимость в наших продуктах. Уязвимость затрагивает все версии с 4.6.1 по 4.15.1 и позволяет получить несанкционированный доступ к серверу любому, у кого есть доступ к панели администратора или продавца, а также права на редактирование блоков.

У нас уже есть решение, и очень важно применить его как можно скорее.


Как мне защитить мой магазин?

Лучше всего обновить CS-Cart или Multi-Vendor до версии 4.15.1 SP4. Если вы останетесь на последней версии, то сможете получать свежие исправления и улучшения безопасности сразу после их выхода.


Что делать, если я не могу обновиться до последней версии?

Если вы не можете обновиться до 4.15.1 SP4, вы все равно можете решить проблему в своей версии.

  1. Зайдите в раздел «Файлы» в Help Desk.
  2. Найдите в папке «Updates» модуль «Исправления безопасности для версий 4.6.1 — 4.15.x» и скачайте его.
  3. Установите модуль из архива по инструкции из документации.

Этот модуль убирает уязвимость в старых версиях CS-Cart и Multi-Vendor.


Что может случиться, если не применить обновление безопасности?

Мы видим две потенциально опасные ситуации:

  • Ваш администратор (или кто-то с доступом к его учетной записи) может завладеть недоступной ему информацией. Это может произойти как в CS-Cart, так и в Multi-Vendor.
  • Продавец на вашем маркетплейсе (или кто-то с учетной записью продавца) также может получить доступ к данным, не предназначенным для него. Это относится только к Multi-Vendor. Такой вариант сложнее реализовать, но он более опасен, особенно если вы не проверяете своих продавцов перед предоставлением доступа к панели продавца.

Сейчас, чтобы воспользоваться уязвимостью, требуются технические знания уровня разработчика, знания архитектуры CS-Cart, а также права на редактирование блоков. Пока мы не встречали случаев, чтобы кто-то воспользовался этой уязвимостью.

Однако важно как можно скорее применить эти исправления. Ведь чем больше людей знают об уязвимости, тем проще ею воспользоваться. И если в первый раз обнаружить и использовать уязвимость довольно сложно, то в последующие разы хакеры просто действуют по инструкции. Поэтому мы стараемся сообщать об уязвимостях и способах их устранения как можно скорее.


Мне уже приходила рассылка об SP3, рекомендации оттуда выполнены. Нужно ли мне сделать что-то еще?

На прошлой неделе мы выпустили версию 4.15.1 SP3, чтобы решить проблемы с безопасностью в CS-Cart и Multi-Vendor. Когда мы узнали, что исправление безопасности несовместимо со сторонними модулями и темами, то временно прекратили раздачу обновлений до SP3. Мы исправили все проблемы в 4.15.1 SP4, а также обновили модуль «Исправления безопасности». Теперь обновления снова доступны.

  • Если вы установили SP3, то рекомендуем обновиться до SP4 для улучшения совместимости со сторонними модулями и темами.
  • Если вы установили модуль «Исправления безопасности» на старую версию, то снова скачайте модуль из Help Desk и установите его по тому же принципу. Предыдущий модуль удалять не обязательно, так как он перезапишется при установке нового модуля.

ASAP Lab — третья сторона, можно ли им доверять?

Компания ASAP Lab занимается хостингом, серверами, а также вопросами производительности и безопасности. Они наши партнёры, и мы им полностью доверяем. Их сотрудники имеют большой опыт работы с CS-Cart, очень серьезно относятся к безопасности и конфиденциальности, а также регулярно проверяют наш код на наличие уязвимостей. Они могут проверить и ваш проект, включая конфигурацию сервера, сторонние модули и пр.

Исправление проблем с безопасностью в CS-Cart и Multi-Vendor 4.6.1 — 4.15.1
5 (100%) 1 vote

 

Добавить комментарий

Ваш адрес email не будет опубликован.