Analytici firmy DefenseCode, kteří prováděli bezpečnostní audit e-shopové platformy Magento Community Edition, v listopadu objevili závažnou vzdáleně zneužitelnou chybu, která umožňuje útočníkovi spustit libovolný kód. Jak informoval Bosko Stankovic z DefenseCode, i přes opakované pokusy dosáhnout opravy a přes vydání čtyř nových verzí zůstává zranitelnost neopravena.
Chybu lze zneužít prostřednictvím neplatného náhledového obrázku k videu Vimeo vloženému ke zboží.
„Nevíme, zda byla tato zranitelnost aktivně zneužita v praxi, ale dokud nebude opravena, bude poskytovate příležitost pro potenciální hackery,‟ upřesnil situaci Stankovic. „Aktivně pátráme po příčině nahlášené chyby a nevím o žádném případu zneužití,‟ reaguje firmy Magento. „Problém vyřešíme v příští opravné verzi a budeme konzistentně pracovat na vylepšení našich kvalitativních procesů.‟