Si elle est exploitée, la vulnérabilité critique pourrait permettre à un pirate de compromettre complètement n'importe quel site ecommerce créé avec Magento et avoir accès aux détails des cartes de crédit et autres informations personnelles des utilisateurs.
Cette grave lacune dans la plateforme Magento exploite une série de vulnérabilités qui permettent en fin de compte à des pirates non authentifiés d'exécuter tout code PHP de leur choix sur le serveur web.
Toutes les vulnérabilités qui mènent à la faille d'exécution de code à distance (Remote Code Execution ou RCE) sont présentes dans le code de base (core) de Magento et affectent l'installation par défaut de Magento Community et Magento Enterprise Edition.
Exécuter du code arbitraire sur le serveur web permet aux pirates de contourner tous les mécanismes de sécurité et de prendre le contrôle complet de la boutique en ligne vulnérable, ainsi que de sa base de données complète, permettant ainsi le vol de cartes de crédit et autres accès administratifs du système.
Il est donc plus qu’urgent pour tous les propriétaires de sites ecommerce Magento d’installer le patch SUPEE-5344 pour corriger cette vulnérabilité.
Le plus troublant, c’est que cette même faille de sécurité avait été découverte en Janvier dernier et le 9 Février 2015, Magento avait mis ce même patch à disposition. Seulement, il semblerait que près de 50% de sites Magento n’auraient pas encore corrigé la vulnérabilité.
Alors, si vous êtes dans ce cas, corrigez immédiatement la faille afin de protéger les données bancaires de vos clients.
