jetmag

חדשות מג'נטו

מג'נטו - עדכון גירסה חשוב למניעת פרצות אבטחה

אתר sucuri מפרסם כי חברת Adobe שחררה מספר תיקוני אבטחה קריטיים הן עבור הקוד הפתוח והן לגרסאות המסחריות של פלטפורמת המסחר האלקטרוני מג'נטו. על פי Adobe, ישנן 18 פגיעויות אבטחה שתוקנו על אף שהן מפרטות רק 16 בעיות ספציפיות בהערות התיקון. 11 מהנושאים הללו נחשבים קריטיים וחמישה נחשבים כחשובים, מדורגים לפי תקני CWE. מומלץ לבעלי אתרי מג'נטו לעדכן בהקדם את גירסת האתר לגירסה העדכנית - 2.4.3.
 
להלן תיאור מספר עדכוני אבטחה שבוצעו במג'נטו:
  • תיקון שגיאת לוגיקה שעלולה לאפשר מעקף של תכונות אבטחה.
  • תיקון פרצת אבטחה XSS אשר יכולה לאפשר הפעלת קוד זדוני מרחוק.
  • תיקון בקרת גישה לא תקינה שיכולה לאפשר הפעלת קוד זדוני מרחוק.
  • תיקון אימות קלט לא תקין שעשוי לאפשר שלילת שירות מאפליקציה, הסלמת הרשאות, מעקף תכונות אבטחה הפעלת קוד זדוני מרחוק.
  • תיקון Path Traversal, שיכול לאפשר הפעלת קוד זדוני מרחוק.
  • ביטול אפשרות הזרקת פקודה של מערכת ההפעלה, שיכולה לאפשר הפעלת קוד זדוני מרחוק.
  • תיקון מצב של אישור שגוי שיכול לאפשר קריאת מערכת קבצים.
  • ביטול אפשרות זיוף בקשות בצד השרת שיכול לאפשר הפעלת קוד זדוני מרחוק.
  • תיקון פרצת אבטחה של הזרקת XML שיכולה לאפשר הפעלת קוד זדוני מרחוק.
יש לציין כי חלק מנקודות תורפה / פרצות אבטחה אלו אינו דורש אימות, מה שהופך אותן למסוכנות ביותר וזו אחת הסיבות שרובן מסווגות כקריטיות. שוב, ההמלצה הגורפת הינה לעדכן בהקדם את אתר מג'נטו לגירסה האחרונה.
פרטים
נוצר ב רביעי, 25 אוגוסט 2021 10:40