Magento : une faille permet de s'immiscer dans les transactions Paypal
Société de services spécialisée dans la technologie Magento, NBS System a découvert une faille au sein du célèbre système d'e-commerce Open Source. Elle concerne les transactions gérées grâce au service de paiement Paypal. Concrètement, elle peut permettre à un pirate de modifier le montant d'une transaction, en vue d'obtenir une réduction conséquente et ainsi d'escroquer le site d'e-commerce.
"Aucune vérification d'intégrité des informations n'est faite par PayPal et les prix modifiés sont repris tels quels dans le récapitulatif de commande", explique NBS System qui précise qu'un de ses clients a été visé par une telle attaque.
Une seconde faille concerne la gestion des données des clients enregistrés
"La faille a été remontée à Magento, et est déjà corrigée dans les dernières versions (EE > 1.10.1 ou CE > 1.5). Hélas, Magento Inc. est adepte du 'silent patching' qui se traduit en bon français par 'corriger les problèmes de sécurité sans prévenir pour que nos clients continuent de croire que tout va bien' ", explique NBS System sur son blog. "Donc, même si la faille est corrigée, aucune publication officielle de Magento Inc. n'informera ses clients que cette faille existe et ne leur permettra de se prémunir." La solution permettant d'éviter l'attaque a été développée par l'agence DND.
Egalement hier dans l'après-midi, The e-commerce Academy a annoncé avoir découvert une seconde faille critique dans Magento. Son exploitation permet de récupérer des données de clients enregistrés sur le site, c'est-à-dire : leur identité et leur coordonnées complète (adresse, e-mail, fax...). Elle concerne des versions anciennes du systèmes d'e-commerce (Magento Community jusqu'à 1.3.3.0 - incluse -, et Magento Enterprise 1.6), des éditions toujours utilisées par certains site.
Lire le billet sur le blog de NBS System
Lire le billet sur le blog The e-commerce Academy