このページで: [隠れる]
2つのコード実行の脆弱性は、AdobeによってMagentoCommerceバージョン2.3.5-p1以前で修正されました。, およびMagentoオープンソースバージョン2.3.5-p1以前. 脆弱性の1つが重大と評価されています (CVE-2020-9689), そしてもう1つは重要です (CVE-2020-9691).
MagentoCommerceバージョン2.3.5-p1以前の脆弱性, およびMagentoオープンソースバージョン2.3.5-p1以前
重大なCVE-2020-9689の欠陥は、パストラバーサルの問題が原因で発生しました。これにより、管理者権限を持つ攻撃者が任意のコードを実行できる可能性があります。, セキュリティ研究者は言う. 重要なバグ, CVE-2020-9691として知られています, 事前認証DOMベースのクロスサイトスクリプティングの問題として説明されています (XSS) これにより、認証されていない脅威アクターが脆弱なシステム上で任意のコードを実行できる可能性があります.
3番目の脆弱性にもパッチが適用されていることに注意してください – CVE-2020-9690. この問題は、観察可能なタイミングの不一致のバグの結果です。, これにより、管理者権限を持つ攻撃者が署名の検証をバイパスできる可能性があります.
また読む Dockerサーバーに対するDokiマルウェアの設定
これらはMagentoの最初の重大なコード実行の欠陥ではありません, そのようなバグの他の2つのセットが、1月と4月に対処されたためです。. これらすべての脆弱性により、攻撃者が任意のコードを実行する可能性があります, エクスプロイトが成功した場合.
ちょうど1か月前, 1.xブランチで実行されていたMagentoeコマースを利用したサイトは、古いブランチに対して開始される可能性のある潜在的なハッキング攻撃から身を守るために、インストールを更新する必要がありました. これは 寿命末期 6月に予定されていた 30. これは、アドビがプラットフォームにセキュリティアップデートを提供しなくなることも意味しました.