Adobe اعلام کرد که یک وصله برای Magento 2 منتشر کرده است تا چندین آسیب پذیری مهم را برطرف کند. برخی از این آسیب پذیری ها می توانند به مهاجمان اجازه دهند تا جلسات مدیر را مدیریت کرده و همچنین دسترسی به اطلاعات مشتری را امکان پذیر کنند.
آسیب پذیری هایی که بر پلت فرم رایج تجارت الکترونیکی Magento تأثیر می گذارد ، هم بر روی نسخه باز و هم بر نسخه تجاری تأثیر می گذارد.
با توجه به یادداشت های انتشار منبع آزاد Magento:
“سی و سه پیشرفت امنیتی که به بستن آسیب پذیری های اجرای کد از راه دور (RCE) و برنامه نویسی بین سایت (XSS) کمک می کند
تا به امروز هیچ حمله تایید شده ای مربوط به این مسائل رخ نداده است.
با این حال ، برخی از آسیب پذیری ها می توانند به طور بالقوه برای دسترسی به اطلاعات مشتری یا مدیریت جلسات مدیر مورد سوء استفاده قرار گیرند. “
تبلیغات
ادامه مطلب را در زیر بخوانید
آسیب پذیری های وصله شده در پلت فرم تجارت مجنتو
Adobe انتشار Magento 2.4.3 را منتشر کرد که شامل 33 بهبود امنیتی است.
این مسائل امنیتی هر دو نسخه تجاری و منبع باز Magento را تحت تأثیر قرار می دهد.
نسخه های تجاری Magento که تحت تأثیر قرار می گیرند:
- 2.4.2 و نسخه های قبلی
- 2.4.2-p1 و نسخه های قبلی
- 2.3.7 و نسخه های قبلی
نسخه های منبع باز Magento که تحت تأثیر قرار می گیرند:
- 2.4.2-p1 و نسخه های قبلی
- 2.3.7 و نسخه های قبلی
تبلیغات
ادامه مطلب را در زیر بخوانید
مسائل امنیتی مهم Magento
بسیاری از مسائل امنیتی بحرانی ارزیابی شده اند.
نکته قابل توجه این است که از شانزده آسیب پذیری امنیتی که توسط Adobe اعلام شده است ، ده مورد از آنها برای سوء استفاده از Magento نیازی به اعتبار مدیر یا کاربر ندارند.
شش آسیب پذیری باقی مانده مستلزم این است که مهاجم از قبل دارای امتیاز مدیر باشد.
یازده مورد از آسیب پذیری ها مهم و بقیه مهم ارزیابی شده اند.
یازده آسیب پذیری بحرانی در مجنتو
در حالی که همه آسیب پذیری ها نباید نادیده گرفته شوند ، مواردی که به عنوان بحرانی ارزیابی شده اند نسبتاً خطرناک هستند.
چهار نوع آسیب پذیری وجود دارد:
- اجرای کد دلخواه (7 آسیب پذیری)
- دور زدن ویژگی امنیتی (2)
- انکار سرویس (1)
- افزایش امتیاز (1)
اجرای کد دلخواه مجنتو
بهره برداری های اختیاری اجرای کد که بر Magento تأثیر می گذارد شامل شش نوع حمله است.
- کنترل دسترسی نادرست
- اعتبارسنجی ورودی نامناسب
- پیمایش مسیر
- تزریق فرمان OS
- جعل درخواست سمت سرور (SSRF)
- تزریق XML (تزریق کور XPath)
نمونه هایی از بهره برداری های امنیتی ویژگی امنیتی Magento
دو نوع Security Feature Bypass در Magento وجود دارد که در Magento نسخه 2.4.3 وصله شده اند.
- اعتبارسنجی ورودی نامناسب
این نوع مسئله مربوط به عدم تأیید صحیح ورودی برای پردازش خطرناک برای نرم افزار است. این به مهاجم اجازه می دهد ورودی غیر منتظره ای ایجاد کند که می تواند منجر به اجرای کد دلخواه شود. - مجوز نادرست
سوء استفاده از مجوزهای نامناسب زمانی است که نرم افزار نتواند به درستی بررسی کند که آیا کاربر دارای سطوح امتیازاتی است که ورودی ها دارای اعتبار مناسب هستند.
تبلیغات
ادامه مطلب را در زیر بخوانید
ویژگی مشترک سوء استفاده های فوق این است که به مهاجم اجازه می دهد به مکانهای حساس نرم افزار دسترسی پیدا کند و به مهاجم اجازه می دهد دستورات دلخواه را اجرا کند.
طبق خلاصه Adobe:
“Magento به روزرسانی هایی را برای نسخه های Adobe Commerce و Magento منتشر کرده است. این به روز رسانی ها آسیب پذیری هایی را که بحرانی و مهم ارزیابی شده اند برطرف می کند. بهره برداری موفق می تواند منجر به اجرای خودسرانه کد شود. “
Magento Update Version 2.4.3
به جرات می توان گفت که به روز رسانی به آخرین نسخه Magento توصیه می شود در نظر گرفته شود. یادداشت های انتشار Adobe بیان می کند که برخی از مسائل مربوط به سازگاری عقب وجود دارد.
برخی از تغییرات به طور مستقل منتشر می شوند و می توانند به این طریق به روز شوند.
تبلیغات
ادامه مطلب را در زیر بخوانید
لطفاً یادداشت های انتشار کامل Adobe را در بولتن امنیتی بخوانید.
استناد
بولتن امنیتی Adobe
Magento Open Source 2.4.3 یادداشت های انتشار
Adobe Commerce 2.4.3 یادداشت های انتشار
مسائل مربوط به ناسازگاری جزئی عقب مانده
مسائل عمده سازگاری با عقب ماندگی