Magento-Update veröffentlicht Behebung kritischer Schwachstellen, die E-Commerce-Websites betreffen

  • Adobe hat am Dienstag Sicherheitsupdates veröffentlicht, um mehrere kritische Schwachstellen in seiner E-Commerce-Plattform Magento zu beheben, die von einem Angreifer dazu missbraucht werden könnten, beliebigen Code auszuführen und die Kontrolle über ein verwundbares System zu übernehmen.

    Die Probleme betreffen die Versionen 2.3.7, 2.4.2-p1, 2.4.2 und frühere Versionen von Magento Commerce sowie 2.3.7, 2.4.2-p1 und alle früheren Versionen der Magento Open Source Edition. Von den 26 behobenen Schwachstellen sind 20 als kritisch und sechs als schwerwiegend eingestuft. Keine der in diesem Monat von Adobe behobenen Sicherheitslücken ist zum Zeitpunkt der Veröffentlichung öffentlich bekannt oder wird aktiv angegriffen.

    [Blocked Image: https://thehackernews.com/images/-UHcDw0TZuOc/YMt1nZpazaI/AAAAAAAA4Qs/d1jlOI8xheYWIFx_O8QJFzDxJI5tRuD7ACLcBGAsYHQ/s300-e100/free-ad-8-300.png]

    Die wichtigsten Bugs sind folgende

    • CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36040, CVE-2021-36041 und CVE-2021-36042 (CVSS-Score: 9.1) – Ausführung von willkürlichem Code aufgrund einer unsachgemäßen Eingabevalidierung
    • CVE-2021-36022 und CVE-2021-36023 (CVSS-Punktzahl: 9.1) – Ausführung von beliebigem Code aufgrund von OS-Befehlsinjektion
    • CVE-2021-36028 und CVE-2021-36033 (CVSS-Punktzahl: 9.1) – Ausführung von beliebigem Code durch XML-Injection
    • CVE-2021-36036 (CVSS-Punktzahl: 9.1) – Ausführung von beliebigem Code aufgrund einer unsachgemäßen Zugriffskontrolle
    • CVE-2021-36029 (CVSS-Punktzahl: 9.1) – Umgehung von Sicherheitsfunktionen
    • CVE-2021-36032 (CVSS-Punktzahl: 8.3) – Privilegienerweiterung
    • CVE-2021-36020 (CVSS-Score: 8.2) – Ausführung von beliebigem Code durch XML-Injection
    • CVE-2021-36043 (CVSS-Punktzahl: 8.0) – Beliebige Codeausführung aufgrund von serverseitiger Anforderungsfälschung (SSRF)
    • CVE-2021-36044 (CVSS-Wertung: 7.5) – Denial-of-Service der Anwendung
    • CVE-2021-36030 (CVSS-Punktzahl: 7.5) – Umgehung von Sicherheitsfunktionen
    • CVE-2021-36031 (CVSS-Score: 7.2) – Beliebige Codeausführung durch Pfadumgehung

    Eine erfolgreiche Ausnutzung der oben genannten Schwachstellen vor der Authentifizierung könnte von einem Angreifer dazu missbraucht werden, seine Privilegien zu erweitern und bösartigen Code auszuführen, so dass der Bedrohungsakteur die Kontrolle über eine Magento-Website und deren Server übernehmen kann.

    Den Nutzern wird dringend empfohlen, schnellstmöglich die entsprechenden Patches herunterzuladen und zu installieren, um die mit den Schwachstellen verbundenen Risiken zu minimieren.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com