Kritické chyby v platformě Magento umožňují spuštění kódu

magento flaws

Správcům se doporučuje, aby aktualizovali své webové stránky tak, aby zabránili útokům Magecart a dalších.

Kritická zranitelnost v platformě e-commerce společnosti Magento – oblíbený cíl cybergangu Magecart – by mohla vést ke spuštění libovolného kódu.

Společnost Adobe vydala opravy v úterý v rámci svého celkového vydání aktualizace Magento 2.3.4, s hodnocením „priority 2“. V žargonu Adobe to znamená, že by správci měli aktualizace použít do 30 dnů.

Společnost Adobe stanovila tři nedostatky, které hodnotí jako kriticky závažné, což znamená, že úspěšné zneužití by mohlo „umožnit spuštění škodlivého nativního kódu, potenciálně bez vědomí uživatele“.

Dva z nich by mohly umožnit libovolné spuštění kódu: CVE-2020-3716 a CVE-2020-3718.

Chyba sledovaná jako CVE-2020-3719 by mezitím umožnila SQL injection, pokud bude úspěšně využita. K útokům na SQL dochází, když vývojář webových stránek neočistí data dodaná uživatelem, což může vést k libovolnému čtení a zápisu dat používaných ve webové aplikaci. Útočník může využít výhod zasláním škodlivého vyhledávacího dotazu do vyhledávacího pole na webu.

Společnost Adobe také opravila mnoho chyb, které hodnotí jako „důležité“ – definované jako problémy, které by mohly umožnit „přístup k důvěrným datům nebo by mohly ohrozit zdroje zpracování v počítači uživatele“.

Patří mezi ně CVE-2020-3715 a CVE-2020-3758, uložené v mezipaměti skriptování mezi weby (XSS), které by mohly umožnit odhalení citlivých informací. Chyby XSS jsou typem injekce, do které se škodlivé skripty vkládají na jinak neškodné a důvěryhodné weby. K útokům XSS dochází, když útočník používá webovou aplikaci k odesílání škodlivého kódu, obvykle ve formě skriptu na straně prohlížeče, jinému koncovému uživateli. Pokud prohlížeč neoveřuje skript a nespouští jej, skript může přistupovat k souborům cookie, tokenům relací nebo jiným citlivým informacím, které prohlížeč uchovává.

Chyba sledovaná jako CVE-2020-3717, je chyba zabezpečení způsobující průnik, která by také mohla vést ke zveřejnění citlivých informací.

Zdroj: treatpost.com

Související články

Leave a Comment