CH azonosító
CH-12201Angol cím
Magento remote code execution (RCE) vulnerabilitiesFelfedezés dátuma
2015.05.04.Súlyosság
MagasÉrintett rendszerek
MagentoMagento eCommerce
Érintett verziók
Community Edition (CE) 1.9.1.0
Enterprise Edition (EE) 1.14.1.0.
Összefoglaló
A Magento fejlesztői két hibajavítást adtak ki. Ezek révén olyan biztonsági réseket lehet befoltozni, amelyek jogosulatlan rendszerhozzáférésre és műveletvégrehajtásra adhatnak módot.
Leírás
Az egyik hiba authentikációs mechanizmusok megkerülését is elősegítheti speciálisan szerkesztett adatok, illetve paraméterek átadása révén.
A másik sérülékenység pedig a Mage_Core_Block_Template_Zend osztályhoz tartozó fetchView() függvényt sújtja.
A nagyobb kockázatot azon támadások jelenthetik, amelyek a fenti két – már korábban is ismert – biztonsági rés kombinálásával következnek be.
Megoldás
A kiadott patch telepítése (SUPEE-5344).
Támadás típusa
System access (Rendszer hozzáférés)execute code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: magento.com
Egyéb referencia: isbk.hu
CVE-2015-3457 - NVD CVE-2015-3457
CVE-2015-3458 - NVD CVE-2015-3458