Компания Adobe объявила о выпуске набора дополнительных обновлений безопасности, с помощью которых, как отмечается, исправляется 8 критических уязвимостей и одна ошибка среднего уровня серьезности в CMS Magento.
Отмечается, что обнаруженные ранее уязвимости актуальны для Magento Commerce и Magento Open Source версий 2.3.5-p1, 2.4.0 и более ранних. Критические уязвимости в Adobe Magento, которые теперь устранены, отслеживаются как:
- CVE-2020-24407 (обход списка разрешений при загрузке файла);
- CVE-2020-24400 (ошибка внедрения SQL).
Уязвимости такого типа позволяли киберпреступникам удаленно выполнять произвольный код или получить доступ к базе данных для чтения/записи. Обнаруженные проблемы не работают без предварительной авторизации – для эксплуатации уязвимостей требуется получение прав администратора.
Компания Adobe также устранила уязвимость CVE-2020-24402, которая позволяет хакерам манипулировать списками клиентов и изменять их. Еще среди исправлений следующие уязвимости:
- CVE-2020-24408 (проблема с сохраненными межсайтовыми скриптами XSS);
- CVE-2020-24401 (ошибка недействительности пользовательского сеанса);
- CVE-2020-24404 (проблема безопасности, позволяющая изменять страницы в Magento CMS без разрешения);
- CVE-2020-24405 и CVE-2020-24403 (ошибки ограниченного доступа к ресурсам).
Уязвимости средней степени опасности – CVE-2020-24406, которая заключается в непреднамеренном раскрытии корневой директории документа, что может привести к раскрытию конфиденциальных данных.
В стандартном ежемесячном обновлении безопасности компания Adobe исправила единственную критическую уязвимость во Flash для Windows, macOS, Linux и Chrome OS. Уязвимость CVE-2020-9746 представлена в виде ошибки разыменования нулевого указателя, что может быть использовано для сбоя программного обеспечения или выполнения произвольного кода.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
