Сьогодні (12 лютого 2020 р.) Ми отримали повідомлення про потенційну проблему безпеки в нашому модулі Magento 2 Login As Customer завдяки твіту Даніеля Слофа.
Переглядаючи код та спілкуючись з Дерріком Хісбіном, Льюїс Вонкен з сайту experus.nl виявив проблему в безпеці.
Зауважте, що дотепер жодної підтвердженої атаки, пов’язаної з цією проблемою, не відбулося, однак зловмисники потенційно могли увійти до облікового запису користувача за мінімальний проміжок часу після того, як адмін натиснув кнопку «Увійти як користувач» в адмін панелі та до того, як адмін був перенаправлений на вітрину магазину та фактично ввійшов в цей акаунт.
Час дійсно важливий для відтворення цієї проблеми. Проблема безпеки може виникнути у всіх версіях модуля Login as Customer до версії 2.2.3 протягом декількох секунд після натискання кнопки "Увійти як користувач".
Ми закликаємо всіх, хто використовує розширення Login As Customer v2.0.0 - v2.2.2, оновити його принаймні до v2.2.3 або застосувати це швидке виправлення.
У Magefan ми завжди звертаємо увагу на безпеку розширень Magento 2, робимо все можливе, щоб запобігти будь-яким пов'язаним з цим проблемам та вживаємо заходів для їх усунення за лічені години, якщо нам про них повідомляють.
Ми хочемо висловити свою подяку та подякувати: