Vydaná aktualizácia Magento na opravu kritických nedostatkov ovplyvňujúcich webové stránky elektronického obchodu

Spoločnosť Adobe v utorok dodala bezpečnostné aktualizácie na nápravu viacerých kritických zraniteľností vo svojej platforme elektronického obchodu Magento, ktoré by mohol útočník zneužiť na spustenie ľubovoľného kódu a prevzatie kontroly nad zraniteľným systémom.

Problémy ovplyvňujú 2.3.7, 2.4.2-p1, 2.4.2a staršie verzie Magento Commerce a 2.3.7, 2.4.2-p1 a všetky predchádzajúce verzie Magento Open Source edition. Z 26 riešených nedostatkov je 20 hodnotených ako kritických a šesť ako dôležitých z hľadiska závažnosti. Žiadna zo zraniteľností, ktoré spoločnosť Adobe opravila tento mesiac, nie je v čase vydania uvedená ako verejne známa ani pod aktívnym útokom.

Najzaujímavejšie z chýb sú nasledovné –

  • CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36040, CVE-2021 a 21041,4021-402041 (skóre CVSS: 9.1) – Spustenie ľubovoľného kódu v dôsledku nesprávneho overenia vstupu
  • CVE-2021-36022 a CVE-2021-36023 (skóre CVSS: 9.1) – Spúšťanie ľubovoľného kódu v dôsledku vstrekovania príkazov OS
  • CVE-2021-36028 a CVE-2021-36033 (skóre CVSS: 9.1) – Spúšťanie ľubovoľného kódu v dôsledku vstrekovania XML
  • CVE-2021-36036 (skóre CVSS: 9.1) – Svojvoľné spustenie kódu v dôsledku nesprávnej kontroly prístupu
  • CVE-2021-36029 (skóre CVSS: 9.1) – Premostenie bezpečnostných prvkov
  • CVE-2021-36032 (skóre CVSS: 8.3) – Eskalácia privilégií
  • CVE-2021-36020 (skóre CVSS: 8.2) – Spúšťanie ľubovoľného kódu v dôsledku vstrekovania XML
  • CVE-2021-36043 (skóre CVSS: 8.0) – Svojvoľné spustenie kódu v dôsledku falšovania požiadavky na strane servera (SSRF)
  • CVE-2021-36044 (skóre CVSS: 7.5) – Odmietnutie služby aplikácie
  • CVE-2021-36030 (skóre CVSS: 7.5) – Premostenie bezpečnostných prvkov
  • CVE-2021-36031 (skóre CVSS: 7.2) – Spustenie ľubovoľného kódu v dôsledku prechodu cesty

Úspešné využitie vyššie uvedených pred-autentizačných zraniteľností by mohol protivník zneužiť na eskaláciu privilégií a spustenie škodlivého kódu, čo by umožnilo aktérovi hrozby prevziať kontrolu nad Magento webom a jeho serverom.

Používateľom sa dôrazne odporúča, aby si rýchlo stiahli príslušné opravy a nainštalovali ich, aby sa zmiernili riziká spojené s chybami.