Sur cette page: [cacher]
Deux vulnérabilités d'exécution de code ont été corrigées par Adobe dans les versions 2.3.5-p1 et antérieures de Magento Commerce, et Magento Open Source versions 2.3.5-p1 et antérieures. L'une des vulnérabilités est considérée comme critique (CVE-2020-9689), et l'autre aussi important (CVE-2020-9691).
Vulnérabilités dans les versions 2.3.5-p1 et antérieures de Magento Commerce, et Magento Open Source versions 2.3.5-p1 et antérieures
La faille critique CVE-2020-9689 a été causée par un problème de traversée de chemin qui pourrait permettre aux attaquants dotés de privilèges d'administrateur d'exécuter du code arbitraire., les chercheurs en sécurité disent. Le bug important, connu sous le nom de CVE-2020-9691, est décrit comme un problème de script intersite basé sur DOM pré-authentification (XSS) qui pourrait permettre aux acteurs de la menace non authentifiés d'exécuter du code arbitraire sur des systèmes vulnérables.
Il est à noter qu'une troisième vulnérabilité a également été corrigée – CVE-2020-9690. Ce problème est le résultat d'un bug de décalage de synchronisation observable, qui pourrait permettre aux attaquants avec des privilèges d'administrateur de contourner la vérification de signature.
Lire aussi Doki Malware défini contre les serveurs Docker
Ce ne sont pas les premières failles critiques d'exécution de code dans Magento, car deux autres ensembles de ces bogues ont été corrigés en janvier puis en avril. Toutes ces vulnérabilités pourraient permettre aux attaquants d'exécuter du code arbitraire, au cas où un exploit réussi aurait lieu.
Il y a exactement un mois, Les sites Magento eCommerce qui fonctionnaient sur la branche 1.x devaient mettre à jour leurs installations pour se protéger contre les attaques de piratage potentielles qui pourraient être lancées contre l'ancienne branche.. Cela était dû à une étape de fin de vie qui était prévu pour juin 30. Cela signifiait également qu'Adobe ne fournirait plus de mises à jour de sécurité à la plate-forme.