Magento update uitgebracht om een aantal krietieke tekortkomingen te verhelpen.

African American Man Doing Online Shopping Buying Shoes Sitting Indoors
Image source - Pexels.com

Adobe heeft dinsdag beveiligingsupdates verzonden om meerdere kritieke kwetsbaarheden in zijn Magento e-commerce platform te verhelpen die door een aanvaller kunnen worden misbruikt om willekeurige code uit te voeren en de controle over een kwetsbaar systeem over te nemen.

De problemen treffen 2.3.7, 2.4.2-p1, 2.4.2, en eerdere versies van Magento Commerce, en 2.3.7, 2.4.2-p1, en alle eerdere versies van Magento Open Source editie. Van de 26 geadresseerde kwetsbaarheden, zijn er 20 als kritiek beoordeeld en zes als belangrijk. Geen van de kwetsbaarheden die Adobe deze maand heeft verholpen zijn publiekelijk bekend of werden actief aangevallen op het moment van publicatie.

De meest verontrustende van de bugs zijn de volgende –

CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36040, CVE-2021-36041, en CVE-2021-36042 (CVSS score: 9.1) – Arbitraire code-uitvoering als gevolg van onjuiste input-validatie
CVE-2021-36022 en CVE-2021-36023 (CVSS-score: 9.1) – Willekeurige code-uitvoering door injectie van OS-opdrachten
CVE-2021-36028 en CVE-2021-36033 (CVSS-score: 9.1) – Willekeurige code-uitvoering door XML-injectie
CVE-2021-36036 (CVSS-score: 9.1) – Willekeurige code-uitvoering als gevolg van onjuiste toegangscontrole
CVE-2021-36029 (CVSS-score: 9.1) – Omzeiling van beveiligingsfuncties
CVE-2021-36032 (CVSS-score: 8.3) – Privilege-escalatie
CVE-2021-36020 (CVSS-score: 8.2) – Willekeurige code-uitvoering door XML-injectie
CVE-2021-36043 (CVSS-score: 8.0) – Willekeurige code-uitvoering door server-side request forgery (SSRF)
CVE-2021-36044 (CVSS-score: 7,5) – Ontzegging van de werking van toepassingen
CVE-2021-36030 (CVSS-score: 7,5) – Omzeiling van beveiligingsfuncties
CVE-2021-36031 (CVSS-score: 7,2) – Arbitraire code-uitvoering door padverlegging
Succesvolle uitbuiting van de bovengenoemde pre-authenticatie kwetsbaarheden kunnen worden misbruikt door een tegenstander om privileges te laten escaleren en kwaadaardige code uit te voeren, waardoor de bedreiger de controle over een Magento site en zijn server kan overnemen.

Gebruikers wordt sterk aangeraden om snel de juiste patches te downloaden en te installeren om de risico’s van de kwetsbaarheden te beperken.

Gerelateerde artikelen

Wellicht ben je ook geïnteresseerd in?

Het laatste nieuws in je mailbox ontvangen?