DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Magento phát hành bản vá bảo mật để sửa chữa 5 lỗi RCE, 3 lỗi SQLi
Magento project vừa phát hành bản vá cho 37 lỗi an ninh trong CMS cho phép kiểm soát một lượng lớn các cửa hàng trực tuyến trên Internet. Trong số 37 lỗi được vá thì có 5 lỗ hổng cho phép tin tặc thực thi lệnh từ xa với thang điểm lần lượt là 9.8/9.1/8.5 tính trên mức độ nguy hiểm. Các phiên bản bị ảnh hưởng bao gồm Magento 2.1 tới trước phiên bản 2.1.17, Magento 2.2 tới trước phiên bản 2.2.8, và Magento 2.3 tới trước phiên bản 2.3.1.
Cũng trong bản cập nhật này, Magento đã vá 3 lỗ hổng SQLi. Nguy hiểm nhất trong số 3 lỗ hổng SQLi được vá có lẽ là lỗi với mã PRODSECBUG-2198, bởi bất kì lỗi này cho phép bất kì ai không cần quyền xác thực tới Magento cũng có thể dành quyền kiểm soát các cửa hàng trực tuyến. Tính trên mức độ nguy hiểm, thang điểm của cả 3 lỗ hổng này đều là 9. Điều đáng chú ý rằng, một số PoC đã được công bố trên Github.
Ngoài ra cũng có các lỗi XSS, lộ lọt thông tin cũng được vá trong bản cập nhật lần này. Magento khuyến cáo tất cả người dùng hãy cập nhật cả phiên bản Magento thương mại và miễn phí lên phiên bản 2.3.1 hoặc 2.2.8.
Cũng trong bản cập nhật này, Magento đã vá 3 lỗ hổng SQLi. Nguy hiểm nhất trong số 3 lỗ hổng SQLi được vá có lẽ là lỗi với mã PRODSECBUG-2198, bởi bất kì lỗi này cho phép bất kì ai không cần quyền xác thực tới Magento cũng có thể dành quyền kiểm soát các cửa hàng trực tuyến. Tính trên mức độ nguy hiểm, thang điểm của cả 3 lỗ hổng này đều là 9. Điều đáng chú ý rằng, một số PoC đã được công bố trên Github.
Ngoài ra cũng có các lỗi XSS, lộ lọt thông tin cũng được vá trong bản cập nhật lần này. Magento khuyến cáo tất cả người dùng hãy cập nhật cả phiên bản Magento thương mại và miễn phí lên phiên bản 2.3.1 hoặc 2.2.8.