Adobe corrige bugs magento que levam à execução de código, adulteração da lista de clientes

Views: 322

A atualização de segurança fora da banda aborda oito vulnerabilidades críticas e importantes.

A Adobe lançou um conjunto de correções de segurança fora da banda para resolver problemas sérios na plataforma Magento.

Publicado em 15 de outubro, o aviso de segurança está fora do ciclo de patch mensal típico da empresa e resolve nove vulnerabilidades, das quais oito são consideradas críticas ou importantes, bem como uma falha de gravidade moderada.

As vulnerabilidades impactam Magento Commerce e Magento Open Source, versões 2.3.5-p1, 2.4.0 e anterior.

As vulnerabilidades críticas do Adobe Magento, agora resolvidas, são rastreadas como CVE-2020-24407 E CVE-2020-24400. O upload do arquivo permite que o bypass da lista e o bug de injeção SQL possam levar à execução de código arbitrário ou acesso arbitrário ao banco de dados de leitura/gravação. No entanto, nenhuma falha de segurança é pré-auth e ambos exigem que um invasor já tenha obtido privilégios administrativos.

Além disso, a gigante do software abordou uma vulnerabilidade que permite aos invasores manipular e modificar listas de clientes, CVE-2020-24402. 

Um problema de scripting cross-site armazenado (XSS) (CVE-2020-24408), um bug de invalidação de sessão do usuário (CVE-2020-24401), uma falha de segurança que permite que as páginas do Magento CMS sejam modificadas sem permissão (CVE-2020-24404), e dois bugs restritos de acesso a recursos — CVE-2020-24405 E CVE-2020-24403 – também foram resolvidos.

O bug menos perigoso, CVE-2020-24406, é a divulgação não intencional de um caminho raiz de documento que poderia levar à divulgação de informações confidenciais.

Na atualização de segurança mensal padrão da Adobe, a empresa corrigiu uma vulnerabilidade única e crítica no Flash para Windows, macOS, Linux e Chrome OS. A vulnerabilidade, 

, é uma falha de dereferência de ponteiro nula que poderia ser explorada para causar falhas de software ou execução arbitrária de código.

A Microsoft também libera correções de segurança para seu software a cada quatro semanas. Em outubro, 87 problemas de segurança foram resolvidos, incluindo 21 vulnerabilidades de execução remota de código que afetam produtos como Excel, Outlook e a pilha De IC/IP do Windows.

FONTE: ZDNET