Les entreprises exploitant la solution d’e-commerce Magento doivent installer au plus vite les derniers correctifs de sécurité.

Une sérieuse faille de sécurité existe actuellement dans les moutures antérieures aux versions 1.14.4.1, 1.9.4.1, 2.1.17, 2.2.8 et 2.31. Les patchs ont été publiés jeudi, mais la vulnérabilité était déjà exploitée moins de 24 h plus tard.

Découverte par les chercheurs français d'Ambionics, elle est exploitable via une injection SQL, sans authentification requise.

Les pirates avaient techniquement les moyens de récupérer les hash des identifiants et mots de passe. S’ils réussissaient à les décrypter, ils étaient alors en mesure de prendre le contrôle de l’installation.

Les administrateurs ont tout intérêt à réagir au plus vite car il semblerait que la faille existe depuis au moins un an dans toutes les branches de Magento.

Les prototypes d’exploitation fonctionnent déjà et Jérôme Segura, analyste en chef chez MalwareBytes, a affirmé à Ars Technica que les attaques n’étaient plus qu’une question de temps.

Principal danger ? Que les pirates installent du code visant à dérober les informations bancaires utilisées pour des paiements. Une paille.