Magento: jeśli nie chcecie za chwilę utracić kontroli nad swoim e-commerce, lepiej zaaplikujcie tę łatę!

Magento wypuściło właśnie paczkę łat. Pierwsza podatność zwala z nóg, bo w zasadzie gorzej być nie może – błąd wyceniony w skali CVSS na 10/10, to możliwość wykonania dowolnego kodu na serwerze (RCE), bez uwierzytelnienia:

A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. An unauthenticated user can insert a malicious payload through PageBuilder template methods.

Podatność poprawiają wersje: Magento 2.2.10, Magento 2.3.2-p1, Magento 2.3.3

Innych błędów klasy RCE mamy tu całą masę, na dodatek kilka SQL injection, SSRF, XXE, XSS, używanie podatnych komponentów, problemy z kryptografią czy błędy z mechanizmami uwierzytelniania. Dociekliwi mogą sprawdzić w tych różnych przypadkach wymagane uprawnienia (Magento przygotowało względnie szczegółowy opis każdego z problemów).

–ms