Magento vá nhiều lỗ hổng nghiêm trọng ảnh hưởng các trang web thương mại điện tử

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:0911, 12/08/21, 04:08 PM.

  1. WhiteHat News #ID:0911

    WhiteHat News #ID:0911 WhiteHat Support

    Tham gia: 30/07/14, 10:07 AM
    Bài viết: 653
    Đã được thích: 78
    Điểm thành tích:
    48
    Adobe vừa phát hành các bản cập nhật, khắc phục nhiều lỗ hổng nghiêm trọng trong nền tảng thương mại điện tử Magento. Những lỗ hổng này có thể bị kẻ tấn công lợi dụng thực thi mã tùy ý và kiểm soát hệ thống tồn tại lỗ hổng.
    magento.jpg

    Các lỗ hổng ảnh hưởng đến các phiên bản 2.3.7, 2.4.2-p1, 2.4.2 và trước đó của Magento Commerce, 2.3.7, 2.4.2-p1 và trước đó của Mã nguồn mở Magento. Trong số 26 lỗi được giải quyết, 20 lỗi được đánh giá là nghiêm trọng và 06 lỗi ở mức quan trọng. Cụ thể:

    • CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36040, CVE-2021-36041 và CVE-2021-36042 (Điểm CVSS: 9.1): Thực thi mã tùy ý do xác thực đầu vào không đầy đủ.

    • CVE-2021-36022 và CVE-2021-36023 (điểm CVSS: 9,1): Thực thi mã tùy ý do chèn lệnh hệ điều hành.

    • CVE-2021-36028 và CVE-2021-36033 (điểm CVSS: 9,1): Thực thi mã tùy ý do chèn XML.

    • CVE-2021-36036 (Điểm CVSS: 9,1): Thực thi mã tùy ý do kiểm soát truy cập không đầy đủ.

    • CVE-2021-36029 (Điểm CVSS: 9,1): Qua mặt tính năng bảo mật.

    • CVE-2021-36032 (Điểm CVSS: 8,3): Leo thang đặc quyền.

    • CVE-2021-36020 (Điểm CVSS: 8,2): Thực thi mã tùy ý do chèn XML.

    • CVE-2021-36043 (Điểm CVSS: 8,0): Thực thi mã tùy ý do giả mạo yêu cầu phía máy chủ (SSRF).

    • CVE-2021-36044 (Điểm CVSS: 7,5): Từ chối dịch vụ

    • CVE-2021-36030 (Điểm CVSS: 7,5): Qua mặt tính năng bảo mật.

    • CVE-2021-36031 (Điểm CVSS: 7,2): Thực thi mã tùy ý.

    Kẻ xấu có thể khai thác các lỗ hổng tiền xác thực để leo cao đặc quyền và chạy mã độc, tạo điều kiện chiếm quyền kiểm soát trang Magento và máy chủ.

    Người dùng được khuyến cáo nhanh chóng tải xuống và cài đặt các bản vá lỗi để giảm thiểu rủi ro.

    Nguồn: The Hacker News​
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. WhiteHat News #ID:2112
  2. WhiteHat News #ID:0911
  3. WhiteHat News #ID:2018
  4. WhiteHat News #ID:2018
Tags: