As vulnerabilidades classificadas como críticas foram descritas como um “desvio da lista de permissão de upload de arquivo” que pode levar à execução arbitrária de código e uma falha de injeção de SQL que pode fornecer a um invasor acesso de leitura ou gravação ao banco de dados da loja alvo. No entanto, a exploração dessas vulnerabilidades requer privilégios de administrador, o que significa que elas precisam ser conectadas a outros pontos fracos.
Seis das brechas de segurança conectadas na semana passada foram classificadas como importantes, incluindo autorização inadequada, invalidação de sessão de usuário insuficiente e problemas de script entre sites armazenados (XSS).
A única vulnerabilidade que pode ser explorada sem autenticação é a falha XSS, que pode permitir que um invasor execute código JavaScript arbitrário. No entanto, a exploração de bugs XSS normalmente requer convencer o usuário alvo a clicar em um link ou visitar uma determinada página no site alvo.
As vulnerabilidades de gravidade importante restantes podem permitir que um invasor modifique listas de clientes, acesse recursos restritos e modifique páginas do CMS.
A única falha de gravidade moderada corrigida com esta rodada de atualizações do Magento permite que um invasor com privilégios de administrador obtenha informações, especificamente o caminho raiz do documento.
Um total de seis pesquisadores foram creditados pela Adobe por relatar essas vulnerabilidades . Os patches estão incluídos nas versões 2.4.1 e 2.3.6 do Magento Commerce e Open Source.
As lojas online com tecnologia Magento são frequentemente visadas por cibercriminosos em um esforço para roubar as informações pessoais e financeiras de seus clientes.
Um ataque recente envolveu centenas de lojas Magento sendo hackeadas todos os dias no que os especialistas descreveram como a maior campanha de skimming de todos os tempos. Os exploits do Magento também foram usados em uma campanha destinada aos clientes da plataforma de conferência Playback Now.
Fonte: https://www.securityweek.com/adobe-patches-9-vulnerabilities-magento
Sistema Defesa Civil Alerta é suspenso após 12 alertas falsos com a palavra "misantropia" serem…
Thalha Jubair e Owen Flowers confessaram envolvimento no ataque de 2024 contra a TfL, que…
JFrog descobre três pacotes npm publicados pelo usuário "abdrizak" que fingem ser utilitários PostCSS, instalam…
Novo guia técnico explica passo a passo como atacantes transformam o recurso administrativo Distributed COM…
Anunciamos o lançamento do Plugged Ninja AI (plugged.ninja/ai), nova vertical do site dedicada a explicar…
Pesquisadores da Wake Forest University analisaram 444 aplicativos iOS com funcionalidade LLM e identificaram 282…