En esta página: [esconder]
Adobe corrigió dos vulnerabilidades de ejecución de código en Magento Commerce versiones 2.3.5-p1 y anteriores, y Magento Open Source versiones 2.3.5-p1 y anteriores. Una de las vulnerabilidades se considera crítica. (CVE-2020-9689), y el otro tan importante (CVE-2020-9691).
Vulnerabilidades en Magento Commerce versiones 2.3.5-p1 y anteriores, y Magento Open Source versiones 2.3.5-p1 y anteriores
La falla crítica CVE-2020-9689 ha sido causada por un problema de recorrido de la ruta que podría permitir a los atacantes con privilegios de administrador ejecutar código arbitrario, los investigadores de seguridad dicen. El error importante, conocido como CVE-2020-9691, se describe como un problema de scripting entre sitios basado en DOM previo a la autenticación (XSS) lo que podría permitir a los actores de amenazas no autenticados ejecutar código arbitrario en sistemas vulnerables.
Cabe señalar que una tercera vulnerabilidad también fue parchada – CVE-2020-9690. Este problema es el resultado de un error de discrepancia de tiempo observable, lo que podría permitir a los atacantes con privilegios de administrador omitir la verificación de firma.
Lea también Conjunto de malware Doki contra servidores Docker
Estas no son las primeras fallas críticas de ejecución de código en Magento, ya que otros dos conjuntos de tales errores se abordaron en enero y luego en abril. Todas estas vulnerabilidades podrían permitir a los atacantes ejecutar código arbitrario, en caso de que se produjera una explotación exitosa.
Hace exactamente un mes, Los sitios de comercio electrónico de Magento que se ejecutaban en la rama 1.x necesitaban actualizar sus instalaciones para protegerse de posibles ataques de piratería que podrían lanzarse contra la rama más antigua.. Esto se debió a una etapa de fin de vida que estaba programado para junio 30. Esto también significaba que Adobe ya no proporcionaría actualizaciones de seguridad a la plataforma.