fbpx
ActualitésAdobeAppsHigh Tech

Adobe corrige les bugs Magento qui conduisent à l’exécution de code, à la falsification de la liste des clients

Adobe a publié un ensemble de correctifs de sécurité hors bande pour résoudre les problèmes graves de la plate-forme Magento.

Publié le 15 octobre, l’avis de sécurité est en dehors du cycle mensuel typique des correctifs de l’entreprise et résout neuf vulnérabilités, dont huit sont considérées comme critiques ou importantes, ainsi qu’une faille de gravité moyenne.

Les vulnérabilités impactent Magento Commerce et Magento Open Source, versions 2.3.5-p1, 2.4.0 et antérieures.

Les vulnérabilités critiques d’Adobe Magento, désormais résolues, sont suivies sous les noms CVE-2020-24407 et CVE-2020-24400. Le contournement de la liste d’autorisation de téléchargement de fichiers et le bug d’injection SQL peuvent conduire à l’exécution de code arbitraire ou à un accès arbitraire en lecture / écriture à la base de données. Cependant, aucune des failles de sécurité n’est antérieure à l’authentification et les deux nécessitent qu’un attaquant ait déjà obtenu les privilèges d’administrateur.

De plus, le géant du logiciel s’est attaqué à une vulnérabilité qui permet aux attaquants de manipuler et de modifier les listes de clients, CVE-2020-24402.

Un problème de script intersite stocké (XSS) (CVE-2020-24408), un bug d’invalidation de session utilisateur (CVE-2020-24401), une faille de sécurité qui permet aux pages du CMS Magento d’être modifiées sans autorisation (CVE-2020-24404) ), et deux bugs d’accès restreint aux ressources – CVE-2020-24405 et CVE-2020-24403 – ont également été résolus.

Le bug le moins dangereux, CVE-2020-24406, est la divulgation involontaire d’un chemin racine de document qui pourrait conduire à la divulgation d’informations sensibles.

Dans la mise à jour de sécurité mensuelle standard d’Adobe, la société a corrigé une seule vulnérabilité critique dans Flash pour Windows, macOS, Linux et Chrome OS. La vulnérabilité, CVE-2020-9746, est une faille de déréférencement de pointeur nul qui pourrait être exploitée pour provoquer des pannes logicielles ou l’exécution de code arbitraire.

Microsoft publie également des correctifs de sécurité pour ses logiciels toutes les quatre semaines. En octobre, 87 problèmes de sécurité ont été résolus, dont 21 vulnérabilités d’exécution de code à distance affectant des produits tels qu’Excel, Outlook et la pile TCP / IP Windows.

Afficher plus

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Fermer