L’équipe de développement de la solution d’Ecommerce Magento met à disposition des utilisateurs un patch de sécurité critique. Une faille de sécurité récemment découverte dans la plateforme permet potentiellement un accès non autorisé aux boutiques.
Cette faille qui permet l’exécution de code distant a été divulguée par Check Point Software Technologies. Elle affecte à la fois les éditions Magento Enterprise Edition et Magento Community Edition. Bien exploitée, elle permettrait à l’attaquant d’obtenir le contrôle sur une boutique en ligne et d’obtenir des données sensibles, incluant les données personnelles des clients.
Le patch de sécuritéSUPEE-5344est disponible depuis le mois de février et a déjà fait l’objet d’un premier rappel. Cependant de nombreux utilisateurs de la plateforme n’ont toujours pas adopté le patch pour protéger leur site contre le risque élevé d’attaque.
Avec plus de visibilité sur les problèmes encourus, l’équipe Magento recommande maintenant l’adoption immédiate du patchSUPEE-5344, si ce n’est déjà fait.Un second patch a fait l’objet d’une publication en octobre 2014(SUPEE-1533), contre une attaque potentielle via l’exécution de code distant. Il est fortement recommandé d’adopter ce patch par la même occasion.
Des informations additionnelles sont disponibles sur la page spéciale sécurité de Magento.
Source : http://magento.com