Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Magento: jeśli nie chcecie za chwilę utracić kontroli nad swoim e-commerce, lepiej zaaplikujcie tę łatę!

08 października 2019, 19:12 | W biegu | 1 komentarz

Magento wypuściło właśnie paczkę łat. Pierwsza podatność zwala z nóg, bo w zasadzie gorzej być nie może – błąd wyceniony w skali CVSS na 10/10, to możliwość wykonania dowolnego kodu na serwerze (RCE), bez uwierzytelnienia:

A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior to 2.2.10, Magento 2.3 prior to 2.3.3. An unauthenticated user can insert a malicious payload through PageBuilder template methods.

Podatność poprawiają wersje: Magento 2.2.10, Magento 2.3.2-p1, Magento 2.3.3

Innych błędów klasy RCE mamy tu całą masę, na dodatek kilka SQL injection, SSRF, XXE, XSS, używanie podatnych komponentów, problemy z kryptografią czy błędy z mechanizmami uwierzytelniania. Dociekliwi mogą sprawdzić w tych różnych przypadkach wymagane uprawnienia (Magento przygotowało względnie szczegółowy opis każdego z problemów).

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Tomek

    Patrząc w changeloga tego patcha to oni nie odróżniają Symfony od Symphony więc trudno żeby umieli poprawnie używać tego frameworka.

    Odpowiedz

Odpowiedz