Nesta página: [ocultar]
Duas vulnerabilidades de execução de código foram corrigidas pela Adobe nas versões 2.3.5-p1 e anterior do Magento Commerce, e Magento Open Source versões 2.3.5-p1 e anteriores. Uma das vulnerabilidades é classificada como crítica (CVE-2020-9689), e o outro tão importante (CVE-2020-9691).
Vulnerabilidades no Magento Commerce versões 2.3.5-p1 e anteriores, e Magento Open Source versões 2.3.5-p1 e anteriores
A falha crítica do CVE-2020-9689 foi causada por um problema de desvio de caminho que poderia permitir que invasores com privilégios de administrador executassem código arbitrário, pesquisadores de segurança dizem. O bug importante, conhecido como CVE-2020-9691, é descrito como um problema de script entre sites baseado em DOM de pré-autenticação (XSS) o que poderia permitir que agentes de ameaças não autenticados executassem códigos arbitrários em sistemas vulneráveis.
Note-se que uma terceira vulnerabilidade também foi corrigida – CVE-2020-9690. Esse problema é resultado de um erro observável de discrepância de tempo, o que pode permitir que invasores com privilégios de administrador ignorem a verificação de assinatura.
Leia também Doki Malware contra servidores Docker
Essas não são as primeiras falhas críticas de execução de código no Magento, como outros dois conjuntos de erros foram resolvidos em janeiro e depois em abril. Todas essas vulnerabilidades podem permitir que invasores executem código arbitrário, no caso de uma exploração bem sucedida.
Exatamente há um mês, Os sites com Magento eCommerce que estavam sendo executados na filial 1.x precisavam atualizar suas instalações para se protegerem de possíveis ataques de hackers que poderiam ser lançados contra a filial mais antiga. Isto foi devido a um estágio de final de vida que estava agendado para junho 30. Isso também significava que a Adobe não forneceria mais atualizações de segurança para a plataforma.