Adobe vá nhiều lỗ hổng trên nền tảng Magento

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2112, 17/10/20, 11:10 PM lúc 11:15 PM.

  1. WhiteHat News #ID:2112

    WhiteHat News #ID:2112 WhiteHat Support

    Tham gia: 16/06/15, 03:06 PM
    Bài viết: 539
    Đã được thích: 77
    Điểm thành tích:
    48
    Adobe vừa phát hành một tập hợp bản vá lỗi để giải quyết các vấn đề nghiêm trọng trong nền tảng Magento.

    Được công bố vào ngày 15/10, bản cập nhật nằm ngoài chu kỳ vá lỗi hàng tháng điển hình của công ty và giải quyết chín lỗ hổng, tám trong số đó được coi là nghiêm trọng hoặc quan trọng, một lỗ hổng ở mức độ vừa phải.

    magento.jpg

    Các lỗ hổng ảnh hưởng đến Magento Commerce và Magento Open Source, phiên bản 2.3.5-p1, 2.4.0 và cũ hơn.

    Các lỗ hổng nghiêm trọng (CVE-2020-24407 và CVE-2020-24400) cho phép vượt qua danh sách tải lên tệp và chèn SQL, có thể dẫn đến thực thi mã tùy ý hoặc quyền truy cập cơ sở dữ liệu đọc/ghi tùy ý. Tuy nhiên, cả hai lỗ hổng đều không phải là pre-auth và đều yêu cầu kẻ tấn công phải có đặc quyền quản trị viên.

    Ngoài ra, Adobe đã khắc phục một lỗ hổng (CVE-2020-24402) cho phép kẻ tấn công thao túng và sửa đổi danh sách khách hàng.

    Lỗi XSS (CVE-2020-24408), lỗi vô hiệu hóa phiên người dùng (CVE-2020-24401), lỗi cho phép sửa đổi trang Magento CMS mà không được phép (CVE-2020-24404 ) và hai lỗi truy cập tài nguyên bị hạn chế (CVE-2020-24405 và CVE-2020-24403) cũng đã được giải quyết.

    Lỗi ít nguy hiểm nhất, CVE-2020-24406, là tiết lộ ngoài ý muốn đường dẫn gốc của tài liệu có thể dẫn đến tiết lộ thông tin nhạy cảm.

    Theo ZDnet
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. WhiteHat News #ID:0911
  2. WhiteHat News #ID:2017
  3. WhiteHat News #ID:2018
  4. WhiteHat News #ID:2018
  5. WhiteHat News #ID:2017
Tags: