Magento: des failles critiques permettent des exécutions de code

Deux failles critiques de Magento – la plate-forme de commerce électronique d’Adobe qui est généralement ciblée par des attaquants comme le groupe de hackers Magecart – pourraient permettre l’exécution de code arbitraire sur les systèmes affectés.

Le commerce de détail devrait exploser dans les mois à venir – entre l’Amazon Prime Day et le Black Friday de Novembre – ce qui oblige Adobe à corriger rapidement les failles de la populaire plate-forme open source Magento, qui alimente de nombreuses boutiques en ligne.

La société a révélé deux failles critiques, six erreurs notées importantes et une vulnérabilité de gravité modérée affectant à la fois Magento Commerce (qui est destiné aux entreprises qui ont besoin du niveau de support premium, et dont les frais de licence commencent à $24 000 par an) et Magento Open Source (son alternative gratuite).

Les plus graves failles incluent une vulnérabilité qui permet l’exécution de code arbitraire. Le problème provient du fait que l’application ne valide pas les noms de fichiers complets lors de l’utilisation d’une méthode de «liste d’autorisation» pour vérifier les extensions de fichiers. Cela pourrait permettre à un attaquant de contourner la validation et de télécharger un fichier malveillant. Afin d’exploiter cette faille (CVE-2020-24407), les attaquants n’auraient pas besoin de pré-authentification (ce qui signifie que la faille est exploitable sans informations d’identification) – cependant, ils auraient besoin de privilèges administratifs.

L’autre faille critique est une vulnérabilité d’injection SQL. Il s’agit d’un type de faille de sécurité Web qui permet à un attaquant d’interférer avec les requêtes qu’une application fait à sa base de données. Un attaquant sans authentification – mais aussi avec des privilèges administratifs – pourrait exploiter cette faille afin d’obtenir un accès arbitraire en lecture ou en écriture à une base de données.

magento

Adobe a également déployé des correctifs pour diverses vulnérabilités importantes en matière d’autorisation incorrecte, qui se produisent lorsqu’une application ne vérifie pas correctement qu’un utilisateur est autorisé à accéder aux fonctionnalités, ce qui pourrait finalement exposer des données. Celles-ci incluent une faille qui pourrait permettre la modification non autorisée des pages du système de gestion de contenu Magento (CVE-2020-24404), une faille qui pourrait permettre la modification non autorisée d’une liste de clients commerciaux en ligne (CVE-2020-24402) et deux qui pourraient permettre un accès non autorisé à des ressources restreintes (CVE-2020-24405 et CVE-2020-24403).

Une autre vulnérabilité importante provient d’une validation insuffisante d’une session utilisateur, qui pourrait donner à un attaquant un accès non autorisé à des ressources restreintes (CVE-2020-24401).

Pour toutes les failles ci-dessus, un attaquant aurait besoin de privilèges administratifs, mais n’aurait pas besoin de pré-authentification pour exploiter la faille, selon Adobe.

Enfin, une faille de script intersite de gravité importante (CVE-2020-24408) a également été corrigée, cette faille permet l’exécution arbitraire de JavaScript dans le navigateur. Pour exploiter cela, un attaquant n’aurait pas besoin de privilèges administratifs, mais il aurait besoin d’informations d’identification.

Sont spécifiquement concernés Magento Commerce, versions 2.3.5-p1 et antérieures et 2.4.0 et antérieures; ainsi que Magento Open Source, versions 2.3.5-p1 et antérieures et 2.4.0 et antérieures. Adobe a déployé des correctifs (ci-dessous) dans les versions 2.4.1 et 2.3.6 de Magento Commerce et Magento Open Source, et «recommande aux utilisateurs de mettre à jour leur installation vers la dernière version».

magento

La mise à jour de toutes les vulnérabilités a une priorité de niveau 2, ce qui signifie qu’elles existent dans un produit qui a toujours été à haut risque – mais pour lequel il n’y a actuellement aucun exploit connu.

«En se basant sur l’expérience précédente, nous ne prévoyons pas que des exploits soient imminents. Comme meilleure pratique, Adobe recommande aux administrateurs d’installer la mise à jour rapidement (par exemple, dans les 30 jours) », selon la firme américaine.

Une année mouvementée pour Magento

En effet, Magento a eu son lot de failles de sécurité au cours de la dernière année. En juillet, Adobe a corrigé deux vulnérabilités critiques et deux failles de gravité importantes qui auraient pu permettre l’exécution de code et un contournement de la vérification de signature. Et en Avril, Adobe a corrigé plusieurs failles critiques dans Magento, qui, si elles sont exploitées, pourraient conduire à l’exécution de code arbitraire ou à la divulgation d’informations.

Le problème survient également après que Magento 1 ait atteint sa fin de vie en juin, Adobe faisant un dernier effort pour pousser les 100 000 boutiques en ligne utilisant toujours la version obsolète à migrer vers Magento 2. Les marchands de commerce électronique doivent migrer vers Magento 2 qui est sorti il ​​y a cinq ans.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x