Des vulnérabilités de Magento permettent l’exécution de code

Des failles critiques dans la plate-forme de commerce électronique Magento d’Adobe pourraient permettre l’exécution de code arbitraire sur les systèmes affectés. Cette plateforme est généralement ciblée par des hackers comme le groupe de cybercriminels Magecart.

Magento est une plate-forme de commerce électronique open source populaire appartenant à Adobe qui est utilisée par de nombreuses boutiques en ligne. Adobe a distribué des mises à jour de sécurité pour les failles affectant Magento Commerce 2 et Magento Open Source 2, versions 2.3.5-p1 et antérieures. Celles-ci comprenaient deux vulnérabilités critiques et deux failles de gravité importantes.

«Une exploitation réussie pourrait conduire à l’exécution de code arbitraire et à un contournement de la vérification des signatures», selon Adobe.

magento

Les failles critiques incluent une faille de traversée de chemin (CVE-2020-9689) qui pourrait permettre l’exécution de code arbitraire. Les attaques par traversée de chemin permettent essentiellement aux attaquants de tromper une application Web pour qu’elle lise les fichiers et répertoires stockés en dehors du dossier racine Web. Une autre vulnérabilité critique (CVE-2020-9692) est un contournement de la mitigation de sécurité, qui pourrait également permettre l’exécution de code arbitraire. Pour ces deux failles, un attaquant a besoin de privilèges administratifs pour exploiter les vulnérabilités.

Adobe a également corrigé un écart de synchronisation observable de gravité importante, ce qui pourrait permettre le contournement de la vérification de la signature digitale (CVE-2020-9690). Selon Mitre, un écart de synchronisation observable se produit lorsque deux opérations distinctes nécessitent des durées différentes pour se terminer – d’une manière qui est observable par un attaquant – et révèle des informations pertinentes de sécurité sur le produit vulnérable.

Enfin, un problème de script intersite de gravité importante pourrait permettre l’exécution de code arbitraire. Un attaquant n’aurait pas besoin d’être authentifié pour abuser de cette faille, ce qui signifie qu’elle est exploitable sans informations d’identification.

magento

Les utilisateurs sont invités à mettre à jour vers les versions 2.4.0 ou 2.3.5-p2 de Magento Commerce 2 et les versions 2.4.0 ou 2.3.5-p2 de Magento Open Source 2. La mise à jour de toutes les vulnérabilités est une priorité 2, ce qui signifie qu’elles existent dans un produit qui a toujours été à haut risque mais pour lequel il n’y a actuellement aucun exploit connu.

«En se basant sur les expériences précédentes, nous ne prévoyons pas que des exploits soient imminents. Comme meilleure pratique, Adobe recommande aux administrateurs d’installer la mise à jour rapidement (par exemple, dans les 30 jours) », a déclaré Adobe.

Pas la première fois pour Magento

Magento a eu son lot de failles de sécurité au cours de cette dernière année. En avril, Adobe a corrigé plusieurs failles critiques dans Magento, qui, si elles sont exploitées, pourraient conduire à l’exécution de code arbitraire ou à la divulgation d’informations. Les plus graves d’entre elles incluent des failles critiques d’injection de commande (CVE-2020-9576, CVE-2020-9578, CVE-2020-9582, CVE-2020-9583) et les vulnérabilités critiques de contournement de mitigation de sécurité (CVE-2020-9579, CVE- 2020-9580). Adobe a également publié des correctifs en Janvier dans le cadre de la sortie globale de la mise à jour de Magento 2.3.4, attribuant aux correctifs une note de «priorité 2».

Le problème survient également après que Magento 1 ait atteint sa fin de vie (EOL) en juin, Adobe faisant un dernier effort pour demander aux 100 000 boutiques en ligne utilisant toujours la version obsolète de migrer vers Magento 2. Les marchands de commerce électronique doivent migrer vers Magento 2, sorti il ​​y a cinq ans.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x