Компания Adobe устранила 8 критических уязвимостей в CMS Magento

Дата: 16.10.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Компания Adobe устранила 8 критических уязвимостей в CMS Magento

Компания Adobe объявила о выпуске набора дополнительных обновлений безопасности, с помощью которых, как отмечается, исправляется 8 критических уязвимостей и одна ошибка среднего уровня серьезности в CMS Magento.

Отмечается, что обнаруженные ранее уязвимости актуальны для Magento Commerce и Magento Open Source версий 2.3.5-p1, 2.4.0 и более ранних. Критические уязвимости в Adobe Magento, которые теперь устранены, отслеживаются как:

  • CVE-2020-24407 (обход списка разрешений при загрузке файла);
  • CVE-2020-24400 (ошибка внедрения SQL).

Уязвимости такого типа позволяли киберпреступникам удаленно выполнять произвольный код или получить доступ к базе данных для чтения/записи. Обнаруженные проблемы не работают без предварительной авторизации – для эксплуатации уязвимостей требуется получение прав администратора.

Компания Adobe также устранила уязвимость CVE-2020-24402, которая позволяет хакерам манипулировать списками клиентов и изменять их. Еще среди исправлений следующие уязвимости:

  • CVE-2020-24408 (проблема с сохраненными межсайтовыми скриптами XSS);
  • CVE-2020-24401 (ошибка недействительности пользовательского сеанса);
  • CVE-2020-24404 (проблема безопасности, позволяющая изменять страницы в Magento CMS без разрешения);
  • CVE-2020-24405 и CVE-2020-24403 (ошибки ограниченного доступа к ресурсам).

Уязвимости средней степени опасности – CVE-2020-24406, которая заключается в непреднамеренном раскрытии корневой директории документа, что может привести к раскрытию конфиденциальных данных.

В стандартном ежемесячном обновлении безопасности компания Adobe исправила единственную критическую уязвимость во Flash для Windows, macOS, Linux и Chrome OS. Уязвимость CVE-2020-9746 представлена в виде ошибки разыменования нулевого указателя, что может быть использовано для сбоя программного обеспечения или выполнения произвольного кода.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *