Để giải quyết nhiều lỗ hổng nghiêm trọng cao trong nền tảng thương mại điện tử Magento của Adobe, một loạt các bản cập nhật bảo mật quan trọng đã được phát hành vào thứ Hai, theo The Hacker News .
Magento 2.4.2, 2.4.2-p1 và 2.3.7, cũng như bất kỳ phiên bản Magento nào trước đó, đều bị ảnh hưởng bởi các lỗ hổng chính, cũng như phiên bản Magento Open Source edition 2.3.7, 2.4.2-p1, và bất kỳ phiên bản trước của phiên bản Mã nguồn mở Magento. 20 trong số 26 lỗ hổng được coi là nghiêm trọng, trong khi 6 lỗ hổng được coi là có ý nghĩa nghiêm trọng.
Tất cả các lỗ hổng được vá trong tháng này đều không được công chúng biết đến tại thời điểm phát hành và không phải là mục tiêu của một cuộc tấn công tích cực. Kẻ tấn công đã khai thác thành công các lỗ hổng này có thể có được quyền truy cập cao, chạy mã độc và chiếm quyền kiểm soát trang web Magento cùng với máy chủ lưu trữ. Người dùng Magento được khuyến nghị áp dụng các bản cập nhật cần thiết càng sớm càng tốt để giảm thiểu rủi ro liên quan.
Các lỗ hổng bảo mật sau đây đã được giải quyết bằng các bản vá lỗi gần đây nhất:
- CVE-2021-36031 – Thực thi mã tùy ý do bỏ qua đường dẫn, với điểm CVSS là 9,1
- CVE-2021-36021 – Thực thi mã tùy ý do xác thực đầu vào không đúng, với điểm CVSS là 9,1
- CVE-2021-36044 – Ứng dụng từ chối dịch vụ, với điểm CVSS là 7,5
- CVE-2021-36025 – Thực thi mã tùy ý do xác thực đầu vào không đúng, với điểm CVSS là 9,1
- CVE-2021-36020 – Thực thi mã tùy ý do chèn XML, với điểm CVSS là 9,1
- CVE-2021-36024 – Thực thi mã tùy ý do xác thực đầu vào không đúng, với điểm CVSS là 9,1
- CVE-2021-36029 – Bỏ qua tính năng bảo mật, với điểm CVSS là 9,1
- CVE-2021-36028 và CVE-2021-36033 – Thực thi mã tùy ý do chèn XML, với điểm CVSS là 9,1
- CVE-2021-36035 – Thực thi mã tùy ý do xác thực đầu vào không đúng, với điểm CVSS là 9,1
- CVE-2021-36040, CVE-2021-36041 và CVE-2021-36042 – Thực thi mã tùy ý do xác thực đầu vào không đúng, với điểm CVSS là 9,1
- CVE-2021-36022 và CVE-2021-36023 – Chèn lệnh hệ điều hành, một vectơ tấn công phổ biến, dẫn đến thực thi mã tùy ý, với điểm CVSS là 9,1
- CVE-2021-36036 – Thực thi mã tùy ý do kiểm soát truy cập không đúng cách, với điểm CVSS là 9,1
- CVE-2021-36034 – Thực thi mã tùy ý do xác thực đầu vào không đúng, với điểm CVSS là 9,1
- CVE-2021-36032 – Nâng cao đặc quyền, với điểm CVSS là 8,3
- CVE-2021-36043 – Thực thi mã tùy ý do giả mạo yêu cầu phía máy chủ (SSRF), với điểm CVSS là 8,0
- CVE-2021-36030 – Bỏ qua tính năng bảo mật, với điểm CVSS là 7,5
Nguồn: https://news.softpedia.com/