Недавно наш партнер ASAP Lab провел аудит безопасности и обнаружил уязвимость в наших продуктах. Уязвимость затрагивает все версии с 4.6.1 по 4.15.1 и позволяет получить несанкционированный доступ к серверу любому, у кого есть доступ к панели администратора или продавца, а также права на редактирование блоков.
У нас уже есть решение, и очень важно применить его как можно скорее.
Как мне защитить мой магазин?
Лучше всего обновить CS-Cart или Multi-Vendor до версии 4.15.1 SP4. Если вы останетесь на последней версии, то сможете получать свежие исправления и улучшения безопасности сразу после их выхода.
Что делать, если я не могу обновиться до последней версии?
Если вы не можете обновиться до 4.15.1 SP4, вы все равно можете решить проблему в своей версии.
- Зайдите в раздел «Файлы» в Help Desk.
- Найдите в папке «Updates» модуль «Исправления безопасности для версий 4.6.1 — 4.15.x» и скачайте его.
- Установите модуль из архива по инструкции из документации.
Этот модуль убирает уязвимость в старых версиях CS-Cart и Multi-Vendor.
Что может случиться, если не применить обновление безопасности?
Мы видим две потенциально опасные ситуации:
- Ваш администратор (или кто-то с доступом к его учетной записи) может завладеть недоступной ему информацией. Это может произойти как в CS-Cart, так и в Multi-Vendor.
- Продавец на вашем маркетплейсе (или кто-то с учетной записью продавца) также может получить доступ к данным, не предназначенным для него. Это относится только к Multi-Vendor. Такой вариант сложнее реализовать, но он более опасен, особенно если вы не проверяете своих продавцов перед предоставлением доступа к панели продавца.
Сейчас, чтобы воспользоваться уязвимостью, требуются технические знания уровня разработчика, знания архитектуры CS-Cart, а также права на редактирование блоков. Пока мы не встречали случаев, чтобы кто-то воспользовался этой уязвимостью.
Однако важно как можно скорее применить эти исправления. Ведь чем больше людей знают об уязвимости, тем проще ею воспользоваться. И если в первый раз обнаружить и использовать уязвимость довольно сложно, то в последующие разы хакеры просто действуют по инструкции. Поэтому мы стараемся сообщать об уязвимостях и способах их устранения как можно скорее.
Мне уже приходила рассылка об SP3, рекомендации оттуда выполнены. Нужно ли мне сделать что-то еще?
На прошлой неделе мы выпустили версию 4.15.1 SP3, чтобы решить проблемы с безопасностью в CS-Cart и Multi-Vendor. Когда мы узнали, что исправление безопасности несовместимо со сторонними модулями и темами, то временно прекратили раздачу обновлений до SP3. Мы исправили все проблемы в 4.15.1 SP4, а также обновили модуль «Исправления безопасности». Теперь обновления снова доступны.
- Если вы установили SP3, то рекомендуем обновиться до SP4 для улучшения совместимости со сторонними модулями и темами.
- Если вы установили модуль «Исправления безопасности» на старую версию, то снова скачайте модуль из Help Desk и установите его по тому же принципу. Предыдущий модуль удалять не обязательно, так как он перезапишется при установке нового модуля.
ASAP Lab — третья сторона, можно ли им доверять?
Компания ASAP Lab занимается хостингом, серверами, а также вопросами производительности и безопасности. Они наши партнёры, и мы им полностью доверяем. Их сотрудники имеют большой опыт работы с CS-Cart, очень серьезно относятся к безопасности и конфиденциальности, а также регулярно проверяют наш код на наличие уязвимостей. Они могут проверить и ваш проект, включая конфигурацию сервера, сторонние модули и пр.
Ян Кулаков
Ян — руководитель отдела контент-маркетинга в CS-Cart с опытом работы более 10 лет в электронной коммерции. Он умеет объяснять сложные вещи простыми словами и разбирается в создании, управлении и развитии маркетплейсов. Ян увлекается обучением людей лучшим практикам, новым технологиям и трендам в eCommerce.
