Su questa pagina: [nascondere]
Due vulnerabilità legate all'esecuzione di codice sono state risolte da Adobe nelle versioni 2.3.5-p1 e precedenti di Magento Commerce, e Magento Open Source versioni 2.3.5-p1 e precedenti. Una delle vulnerabilità è considerata critica (CVE-2020-9689), e l'altro importante (CVE-2020-9691).
Vulnerabilità nelle versioni 2.3.5-p1 e precedenti di Magento Commerce, e Magento Open Source versioni 2.3.5-p1 e precedenti
Il difetto critico CVE-2020-9689 è stato causato da un problema di attraversamento del percorso che potrebbe consentire agli attaccanti con privilegi di amministratore di eseguire codice arbitrario, dicono i ricercatori della sicurezza. Il bug importante, noto come CVE-2020-9691, viene descritto come problema di script tra siti basato su DOM pre-autorizzazione (XSS) che potrebbe consentire agli attori delle minacce non autenticati di eseguire codice arbitrario su sistemi vulnerabili.
Va notato che è stata anche patchata una terza vulnerabilità – CVE-2020-9690. Questo problema è il risultato di un bug di discrepanza temporale osservabile, che potrebbe consentire agli aggressori con privilegi di amministratore di ignorare la verifica della firma.
Leggi anche Doki Malware contro server Docker
Questi non sono i primi difetti di esecuzione del codice critico in Magento, poiché altri due insiemi di tali bug sono stati risolti a gennaio e poi ad aprile. Tutte queste vulnerabilità potrebbero consentire agli aggressori di eseguire codice arbitrario, nel caso in cui si verifichi un exploit di successo.
Esattamente un mese fa, I siti Magento eCommerce che erano in esecuzione sul ramo 1.x dovevano aggiornare le loro installazioni per proteggersi da potenziali attacchi di hacking che potevano essere lanciati contro il ramo precedente. Ciò era dovuto a uno stadio di fine vita che era previsto per giugno 30. Ciò significava inoltre che Adobe non avrebbe più fornito aggiornamenti di sicurezza alla piattaforma.