Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Magento: jeśli nie chcecie za chwilę utracić kontroli nad swoim e-commerce, lepiej zaaplikujcie tę łatę!
Magento wypuściło właśnie paczkę łat. Pierwsza podatność zwala z nóg, bo w zasadzie gorzej być nie może – błąd wyceniony w skali CVSS na 10/10, to możliwość wykonania dowolnego kodu na serwerze (RCE), bez uwierzytelnienia:
A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. An unauthenticated user can insert a malicious payload through PageBuilder template methods.
Podatność poprawiają wersje: Magento 2.2.10, Magento 2.3.2-p1, Magento 2.3.3
Innych błędów klasy RCE mamy tu całą masę, na dodatek kilka SQL injection, SSRF, XXE, XSS, używanie podatnych komponentów, problemy z kryptografią czy błędy z mechanizmami uwierzytelniania. Dociekliwi mogą sprawdzić w tych różnych przypadkach wymagane uprawnienia (Magento przygotowało względnie szczegółowy opis każdego z problemów).
–ms
Patrząc w changeloga tego patcha to oni nie odróżniają Symfony od Symphony więc trudno żeby umieli poprawnie używać tego frameworka.