Adobe corrige 9 vulnerabilidades do Magento
A Adobe corrigiu na semana passada um total de nove vulnerabilidades em sua plataforma de comércio eletrônico Magento, incluindo dois problemas críticos.
As vulnerabilidades classificadas como críticas foram descritas como um “desvio da lista de permissão de upload de arquivo” que pode levar à execução arbitrária de código e uma falha de injeção de SQL que pode fornecer a um invasor acesso de leitura ou gravação ao banco de dados da loja alvo. No entanto, a exploração dessas vulnerabilidades requer privilégios de administrador, o que significa que elas precisam ser conectadas a outros pontos fracos.
Seis das brechas de segurança conectadas na semana passada foram classificadas como importantes, incluindo autorização inadequada, invalidação de sessão de usuário insuficiente e problemas de script entre sites armazenados (XSS).
A única vulnerabilidade que pode ser explorada sem autenticação é a falha XSS, que pode permitir que um invasor execute código JavaScript arbitrário. No entanto, a exploração de bugs XSS normalmente requer convencer o usuário alvo a clicar em um link ou visitar uma determinada página no site alvo.
As vulnerabilidades de gravidade importante restantes podem permitir que um invasor modifique listas de clientes, acesse recursos restritos e modifique páginas do CMS.
A única falha de gravidade moderada corrigida com esta rodada de atualizações do Magento permite que um invasor com privilégios de administrador obtenha informações, especificamente o caminho raiz do documento.
Um total de seis pesquisadores foram creditados pela Adobe por relatar essas vulnerabilidades . Os patches estão incluídos nas versões 2.4.1 e 2.3.6 do Magento Commerce e Open Source.
As lojas online com tecnologia Magento são frequentemente visadas por cibercriminosos em um esforço para roubar as informações pessoais e financeiras de seus clientes.
Um ataque recente envolveu centenas de lojas Magento sendo hackeadas todos os dias no que os especialistas descreveram como a maior campanha de skimming de todos os tempos. Os exploits do Magento também foram usados em uma campanha destinada aos clientes da plataforma de conferência Playback Now.
Fonte: https://www.securityweek.com/adobe-patches-9-vulnerabilities-magento
