Pembaruan Magento Dirilis untuk Memperbaiki Kelemahan Kritis yang Mempengaruhi Situs E-Commerce

  • Whatsapp
Magento

Adobe pada hari Selasa dikirim pembaruan keamanan untuk memulihkan beberapa kerentanan kritis dalam platform e-commerce Magento yang dapat disalahgunakan oleh penyerang untuk mengeksekusi kode arbitrer dan mengendalikan sistem yang rentan.

NS masalah mempengaruhi 2.3.7, 2.4.2-p1, 2.4.2, dan versi sebelumnya dari Magento Commerce, dan 2.3.7, 2.4.2-p1, dan semua versi sebelumnya dari edisi Magento Open Source. Dari 26 kelemahan yang ditangani, 20 dinilai kritis, dan enam dinilai Penting dalam tingkat keparahan. Tak satu pun dari kerentanan yang diperbaiki bulan ini oleh Adobe terdaftar sebagai diketahui publik atau sedang diserang aktif pada saat rilis.

Bacaan Lainnya

Tim Stack Overflow

Yang paling mengkhawatirkan dari bug adalah sebagai berikut –

  • CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36040, CVE-2021-36041, dan CVE-2021-36042 (Skor CVSS: 9.1) – Eksekusi kode arbitrer karena validasi input yang tidak tepat
  • CVE-2021-36022 dan CVE-2021-36023 (Skor CVSS: 9.1) – Eksekusi kode arbitrer karena injeksi perintah OS
  • CVE-2021-36028 dan CVE-2021-36033 (Skor CVSS: 9.1) – Eksekusi kode arbitrer karena injeksi XML
  • CVE-2021-36036 (Skor CVSS: 9.1) – Eksekusi kode sewenang-wenang karena kontrol akses yang tidak tepat
  • CVE-2021-36029 (Skor CVSS: 9.1) – Bypass fitur keamanan
  • CVE-2021-36032 (Skor CVSS: 8,3) – Peningkatan hak istimewa
  • CVE-2021-36020 (Skor CVSS: 8.2) – Eksekusi kode arbitrer karena injeksi XML
  • CVE-2021-36043 (Skor CVSS: 8.0) – Eksekusi kode arbitrer karena pemalsuan permintaan sisi server (SSRF)
  • CVE-2021-36044 (Skor CVSS: 7,5) – Penolakan layanan aplikasi
  • CVE-2021-36030 (Skor CVSS: 7,5) – Bypass fitur keamanan
  • CVE-2021-36031 (Skor CVSS: 7,2) – Eksekusi kode arbitrer karena jalur traversal

Eksploitasi yang berhasil dari kerentanan pra-otentikasi yang disebutkan di atas dapat disalahgunakan oleh musuh untuk meningkatkan hak istimewa dan menjalankan kode berbahaya, sehingga memungkinkan aktor ancaman untuk menguasai situs Magento dan servernya.

Pengguna sangat disarankan untuk bergerak cepat untuk mengunduh tambalan yang sesuai dan menginstalnya untuk mengurangi risiko yang terkait dengan kekurangan tersebut.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *