Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Уязвимость позволяет неавторизованному киберпреступнику удаленно установить на сайт свой скрипт и выполнить его.
Разработчики CMS Magento подготовили патч, который устраняет серьезный баг в платформе для электронной коммерции. Как следует из бюллетеня безопасности, уязвимость позволяет злоумышленнику установить на целевой веб-ресурс вредоносный инжект и выполнить его. Пользователям затронутых систем рекомендуют немедленно установить обновление, а также проверить сайты на наличие сторонних скриптов.
Обновление устраняет уязвимость CVE-2019-8144 в Magento Commerce 2.3.1 и 2.3.2, а также в ранних версиях расширения Page Builder. Недостаток связан с проблемами в реализации методов предварительного просмотра Page Builder и позволяет неавторизованному злоумышленнику дистанционно загрузить на страницы интернет-магазина сторонние скрипты. Критический RCE-баг получил от специалистов максимальный рейтинг по шкале CVSS — 10 баллов.
Месяцем ранее разработчики закрыли эту проблему выпуском Magento 2.2.10 и 2.3.3 для веток Open Source и Commerce, а также специальным обновлением версии 2.3.2-p1 до 2.3.2-p2.
Нынешний патч предназначен для тех, кто по каким-либо причинам не может перейти на актуальные релизы системы. Обновление затрагивает только платную линейку продуктов Magento; для сайтов, работающих на устаревших сборках некоммерческого движка, заплатки не предусмотрены.
Разработчики отмечают, что обновление закрывает уязвимость, но не устраняет результаты ее эксплуатации. Если злоумышленники успели воспользоваться багом и внедрить свой скрипт на сайт, администраторам необходимо удалить его самостоятельно. Создатели системы рекомендуют провести тщательный аудит веб-ресурса, чтобы исключить наличие вредоносных инжектов.
Установка патча сделает невозможным редактирование отдельных шаблонов электронной почты в Magento 2.3.1, однако эта функция по-прежнему будет доступна при обращении к ним из сетки этих объектов.
Пользователям облачного варианта платформы устанавливать патч не нужно — Magento Commerce Cloud получила обновления в автоматическом режиме. Разработчики предупреждают, что администраторам системы будут недоступны страницы предварительного просмотра товаров, блоков и динамических блоков, но обещают восстановить эту возможность в ближайшее время.
Уязвимость не затронула сайты, работающие на Magento 1.x, однако пользователи предыдущей версии платформы вскоре столкнутся с более серьезной проблемой. В июне 2020 года разработчики намерены прекратить поддержку устаревших релизов и не выпускать обновления безопасности для них. По разным подсчетам, на актуальную версию движка все еще не перешли от 200 тыс. до 240 тыс. веб-ресурсов.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |