Adobe łata błędy Magento, które prowadzą do wykonania kodu i manipulowania listą klientów

Aktualizacja zabezpieczeń poza pasmem obejmuje osiem krytycznych i ważnych luk w zabezpieczeniach.

Firma Adobe wydała zestaw pozapasmowych poprawek bezpieczeństwa, aby rozwiązać poważne problemy na platformie Magento. Opublikowany 15 października poradnik dotyczący bezpieczeństwa wykracza poza typowy miesięczny cykl aktualizacji firmy i rozwiązuje dziewięć luk, z których osiem uważa się za krytyczne lub ważne, a także jedną lukę o umiarkowanym stopniu ważności.

Luki dotyczą Magento Commerce i Magento Open Source, wersje 2.3.5-p1, 2.4.0 i wcześniejsze.

Krytyczne luki w zabezpieczeniach Adobe Magento, teraz rozwiązane, są śledzone jako CVE-2020-24407 i CVE-2020-24400. Przesyłanie pliku pozwala na obejście listy i błąd iniekcji SQL może prowadzić do wykonania dowolnego kodu lub dowolnego dostępu do bazy danych w trybie odczytu / zapisu. Jednak żadna z luk w zabezpieczeniach nie jest pre-autoryzowana i obie wymagają, aby osoba atakująca uzyskała już uprawnienia administratora.

Ponadto gigant oprogramowania zajął się luką, która umożliwia atakującym manipulowanie listami klientów i modyfikowanie ich, CVE-2020-24402.

Problem ze składowanymi skryptami między lokacjami (XSS) (CVE-2020-24408), błąd unieważniania sesji użytkownika (CVE-2020-24401), luka w zabezpieczeniach, która umożliwia modyfikowanie stron Magento CMS bez pozwolenia (CVE-2020-24404 ), a dwa błędy związane z ograniczonym dostępem do zasobów - CVE-2020-24405 i CVE-2020-24403 - również zostały rozwiązane.

Najmniej niebezpiecznym błędem, CVE-2020-24406, jest niezamierzone ujawnienie ścieżki do katalogu głównego dokumentu, które może prowadzić do ujawnienia poufnych informacji.

W ramach standardowej comiesięcznej aktualizacji zabezpieczeń firmy Adobe firma załatała jedną krytyczną lukę we Flashu dla systemów Windows, macOS, Linux i Chrome OS. Luka CVE-2020-9746 jest luką w wyłuskiwaniu wskaźnika zerowego, którą można wykorzystać do spowodowania awarii oprogramowania lub wykonania dowolnego kodu.

Microsoft również publikuje poprawki bezpieczeństwa dla swojego oprogramowania co cztery tygodnie. W październiku rozwiązano 87 problemów związanych z bezpieczeństwem, w tym 21 luk w zabezpieczeniach umożliwiających zdalne wykonanie kodu, które miały wpływ na takie produkty, jak Excel, Outlook i stos TCP / IP systemu Windows.

Źródła: