Wajib Update bagi Pengguna CMS Magento, Bug XSS Berbahaya!

Saatnya kamu mengupdate CMS Magento yang kamu pakai sekarang! Wajib, menurut saya.

magento-security-patch

Magento baru saja merilis versi terbaru yang mengatasi masalah serangan XSS (Cross-site scripting) yang berimbas pada semua versi Community sebelum versi 1.9.2.2 atau versi Enterprise sebelum 1.14.2.2.

Pada dasarnya, serangan XSS yang menyerang bug di Magento ini dapat:

  • mengambil alih kendali admin di toko online berbasis magento anda,
  • menaikkan level user,
  • mencuri data-data pembeli,
  • mencuri informasi kartu kredit yang tersimpan

Maka dari itu segera update Magento kamu sekarang, karena Magento sudah menghadirkan rilis terbaru yang menanggulangi masalah tersebut.

Lebih Detail

Pada dasarnya serangan XSS tergolong serangan yang sangat mudah dilakukan bagi para hacker tidak bertanggungjawab. Di Magento misalnya, anda tinggal memasukkan beberapa baris code Javascript tertentu pada alamat email saat proses registrasi user baru di Magento.

Magento kemudian akan menjalankan dan mengeksekusi proses registrasi user baru dengan alamat email pendaftaran yang berisi Javascript itu dengan sebagai administrator sistem sehingga memungkinkan Javascript yang ditanam itu mencuri data-data.

Seperti dikutip dari firma keamanan komputer, Sucuri, letak bug ini tersembunyi dalam di core library Magento.

The buggy snippet is located inside Magento core libraries, more specifically within the administrator’s backend. Unless you are behind a WAF or you have a very heavily modified administration panel, you are at risk.”


“As this is a Stored XSS vulnerability, this issue could be used by attackers to take over your site, create new administrator accounts, steal client information, anything a legitimate administrator account is allowed to do.”

Bagian yang bermasalah antara lain pada baris code berikut:

Courtesy: Sucuri

Dengan kondisi validasi script seperti diatas, secara teoritis kita bisa memasukkan alamat email ><script>alert(1);</script>”@yahoo.com dan mendapatkan tampilan alert khas Javascript.

Jadi, kalau code diatas dikembangkan dengan sejumlah script XSS diluar sana yang sudah populer, pasti sangat berbahaya!

Download Patch

Untuk mendownload patch khusus dari bug tersebut diatas, silakan download dari sini: https://magento.com/security/patches/supee-7405

 

Wagiman Wiryosukiro

Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

You may also like...

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: