Следующая новость
Предыдущая новость

В Magento исправили RCE-уязвимость

13.11.2019 12:32
В Magento исправили RCE-уязвимость

Рекомендуем почитать:

Xakep #246. Учиться, учиться, учиться!

  • Содержание выпуска
  • Подписка на «Хакер»

Разработчики популярной ecommerce-платформы рекомендуют пользователям срочно обновиться, так как в Magento исправили уязвимость, позволяющую злоумышленнику выполнить произвольный код.

Проблема получила идентификатор CVE-2019-8144 и набрала максимальные 10 баллов по шкале оценки уязвимостей CVSS. Уязвимость связана с работой PageBuilder и затрагивает Magento версий от 2.3 до 2.3.3, а также 2.3.2-p1.

Проблема была устранена с релизом Magento Commerce 2.3.3, а также в отдельном обновлении безопасности 2.3.2-p2. То есть сайты, на которые не были установлены обновления и работающие с неподдерживаемыми версиями Page Builder (к примеру, Page Builder Beta) могут быть уязвимы для атак.

«Данная уязвимость позволяет неаутентифицированному пользователю вставить вредоносный пейлоад на сайт продавца и запустить его, поэтому мы рекомендуем установить обновление как можно быстрее», — сообщают разработчики и рекомендуют пользователям не только установить патч, но перейти на новейшую версию 2.3.3.

Также разработчики сообщили, что ранее для защиты клиентов от этой уязвимости были предприняты определенные меры, из-за которых администраторы сайтов временно лишились возможности предварительного просмотра продуктов, блоков и динамических блоков. Теперь эта функциональность снова станет доступна.

Источник

Последние новости