A falha podia ser explorada por atacantes não autenticados, podendo mesmo tomar controlo de todas as lojas online.

A partir do Cross-site Scripting persistente ou armazenado (Stored XSS), o atacante podia injetar um payload de javascript na componente administrativa do servidor, e dessa forma roubar a sessão do utilizador e posteriormente executar código remotamente a partir dessa sessão, tomando controlo, em última análise das lojas online.

Raiz do problema

O módulo embutido designado por core Authorize.Netpayment representa uma solução Visa que permite a uma loja processar pagamentos por cartão de crédito. Como este módulo é usado numa camada superior nas lojas, e sendo relativamente fácil de explorar, a severidade era bastante alta, dado que não precisava de nenhuma interação do utilizador.

A primeira falha de XSS reside mais especificamente na nota de cancelamento de uma nova encomenda, dado que se mostrou ser possível ultrapassar a sanitização escapeHtmlWithLinks() usada pela plataforma. Como os links sanitizados são processados via vsprintf(), são adicionadas aspas duplas na tag <i>, permitindo uma injeção de atributo.

Desta forma, assim que um colaborador fosse rever a encomenda cancelada, o payload seria ativado.

Versões vulneráveis

Magento 2.2.6

Versões corrigidas

2.3.2, 2.2.9 e 2.1.18

Fonte: https://www.securityweek.com/magento-patches-flaws-leading-site-takeover?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A%20Securityweek%20%28SecurityWeek%20RSS%20Feed%29&quicktabs_1=0