eBay a colmaté trois importantes failles de sécurité pouvant affecter sa plateforme d’e-commerce Magento. Révélées en fin de semaine dernière par le chercheur en sécurité Hadji Samir du Vulnerability Lab ces vulnérabilités, désormais patchées, ont été découvertes sur la plateforme open-source de création et de gestion de boutique en ligne rachetée par eBay en 2011 qu’utilise 60 000 marchands et marques dans le monde. L’expert a diffusé les bulletins de sécurité de Magento en accès public sur le site du Vulnerability Lab. Elles ont été classée au rang de « medium ». Découverte au sein du service Magento Commerce Premium, la première faille permet à un pirate de prendre un contrôle total du site en utilisant des techniques dites Cross-Site Request Forgery (CSRF). En exploitant cette vulnérabilité XSS, un hackeur peut injecter des scripts à distance dans un coin de l’app, et accéder à toutes les données des comptes clients mal protégés.
Suppression des messages et accès aux sessions
La seconde vulnérabilité, qui concerne la validation des données, aurait également pu être exploitée par des attaquants pour accéder à des comptes utilisateurs ayant un faible niveau de protection. Selon Hadji Samir, elle avait déjà été repérée sur Magento il y a quelques années. Enfin, la troisième faille, de type CSRF, a été trouvée dans l’application de messagerie de Magento. En l’exploitant, les hackers suppriment les messages d’utilisateurs sans leur consentement et interceptent des sessions. Ces vulnérabilités ont été soumises aux équipes de sécurité d’eBay à travers un programme ce chasses aux bugs lancé par la plateforme d’e-commerce en mars dernier. Les experts d’eBay ont réagi en publiant un patch au cours du mois dernier pour les colmater.