CH azonosító: CH-14770
Cím: Adobe Magento többszörös sérülékenység
Angol cím: Multiple vulnerabilities in Adobe Magento
Publikálás dátuma: 2020.01.29.
Utolsó módosítás dátuma: 2020.01.29.
Leírás
A CVE-2020-3715 – CVE-2020-3719 és a CVE-2020-3758 számokon az Adobe Magento szoftvercsaládot érintő sérülékenységek váltak ismertté. A most nyilvánosságra került sérülékenységek közül 3 kritikus, 3 pedig magas kockázati besorolású. A fenti számú sérülékenységek sikeres kihasználása esetén a támadó érzékeny adatokhoz férhet hozzá, illetve káros kódokat futtathat az érintett rendszerekkel összefüggésben.
Leírás forrása: Gyártói referencia: helpx.adobe.com
Leírás utolsó módosítása: 2020.01.29.
Elemzés leírás
Az Adobe Magento az egyik legnépszerűbb, nyílt forráskódú, PHP-alapú e-kereskedelmi platform. Az Adobe Commerce Cloud-al kiegészítve nagyvállalatoknak nyújt nagyteljesítményű, felhőalapú szolgáltatásokat.
A most ismertetett sérülékenységeken keresztül SQLi, XSS és file-bejárásos támadások is indíthatóak az érintett szoftvereket futtató rendszerek ellen. Sikeres kihasználás esetén a támadó érzékeny adatokhoz férhet hozzá, illetve káros kódot juttathat be az érintett weboldalakba, ezzel további támadási lehetőségeket (pl.: bankkártya adatok megszerzése) generál az érintett weboldal látogatói ellen.
A gyártó cég javasolja a frissítések azonnali telepítését, annak ellenére, hogy jelenleg nincs tudomásuk az említett sérülékenységeket kihasználó, aktívan végrehajtott támadásokról.
Érintett verziók:
- Magento Commerce 2.3.3 és az azt megelőző verziók
- Magento Open Source 2.3.3 és az azt megelőző verziók
- Magento Commerce 2.2.10 és az azt megelőző verziók
- Magento Open Source 2.2.10 és az azt megelőző verziók
- Magento Enterprise Edition 1.14.4.3 és az azt megelőző verziók
- Magento Community Edition 1.9.4.3 és az azt megelőző verziók
A gyártó honlapján közzétette a hibák javításait tartalmazó frissítéseket.
Elemzés leírás forrása: Gyártói referencia: helpx.adobe.com
Elemzés leírás utolsó módosítása: 2020.01.29.
Hatás
CVSS3 Súlyosság és Metrika
Alap pontszám: (Nincs)
Vektor:
Hatás pontszáma:
Kihasználhatóság pontszáma:
CVSS2 Súlyosság és Metrika
Alap pontszám: (Nincs)
Vektor:
Hatás alpontszáma:
Kihasználhatóság alpontszáma:
Hivatkozások
Gyártói referencia: helpx.adobe.com
Egyéb referencia: securityaffairs.co
Egyéb referencia: www.bleepingcomputer.com