Magento je zakrpio 37 ranjivosti

Magento je zakrpio 37 ranjivosti

Magento, kompanija koja stoji iz jedne od najvećih platformi za elektronsku trgovinu, objavila je ažuriranja. Ažuriranja otklanjaju 37 ranjivosti čija eksploatacija može omogućiti različite napade.

Najozbiljnija ranjivost omogućava prijavljenom korisniku sa ograničenim privilegijama da izvrši proizvoljan kod korišćenjem specijalno napravljenih email poruka. Ova ranjivost je nosi CVSS ocjenu 9.8 i pogađa sve verzije Magento-a od verzije 2.1 do verzije 2.1.17, od verzije 2.2 do verzije 2.2.8 i verziju 2.3.

Druga ozbiljna ranjivost se odnosi na ranjivost koja omogućava SQL injekciju. Eksploatacija ove ranjivosti omogućava napadačima da iz baze čitaju podatke o administratorskim sesijama iz kojih mogu ukrasti heširane verzije lozinki.

Istraživač iz kompanije Ambionics Security pod imenom Charles Fol u petak je objavio funkcionalan primjer eksploatacioni kod.  Fol je izjavio da je ova kritična ranjivost posljedica manje greške u kodu aplikacije. Ova ranjivost je označena CVSS ocjenom od 9.0 i pogađa sve verzije Magento-a.

Pored ovih ranjivosti Magento je otklonio još dvije kritične ranjivosti i četiri ozbiljne ranjivosti.

Preporučujemo vam da ažurirate Magento na aktuelne verzije 2.1.17, 2.2.8 i 2.3.1. Pored toga preporučujemo vam da ažurirate Magento Open Source na verziju 1.9.4.1 i Magento Commerce na verziju 1.14.41.

Više informacija o ostalim ranjivostima može pronaći ovdje.

Izvor:threatpost.com

Leave a Reply