E-ticaret platformu yöneticileri en kısa sürede güncellemelidir
Hatayı ortaya çıkaran güvenlik araştırmacısına göre, Adobe Magento’daki süper kritik bir güvenlik açığı, saldırganların e-ticaret platformlarını tamamen tehlikeye atmasına izin verebilir.
Adobe, kullanıcıları, web sitelerini olası maksimum önem derecesi (CVSS) puanı olan 10 olan kusurun kötüye kullanılmasından korumak için sistemlerini güncellemeye çağırdı.
CVE-2022-35698 olarak izlenen, depolanan siteler arası komut dosyası çalıştırma (XSS) hatası, 11 Ekim’de yayınlanan bir Adobe güvenlik danışma belgesine göre rastgele kod yürütülmesine neden olabilir.
Daha fazla e-ticaret güvenlik haberi okuyun
Kusur, Adobe Commerce ve Magento Açık Kaynak’ın 2.4.4-p1 ve önceki sürümlerinin yanı sıra 2.4.5 ve önceki sürümleri etkiler. Sorun 2.4.5-p1 ve 2.4.4-p2 sürümlerinde düzeltildi.
Magento ile yaklaşık 267.000 aktif e-ticaret web sitesinin oluşturulduğu tahmin edilmektedir.
Yazılım güncellemesi ayrıca, bir güvenlik özelliğini (CVE-2022-35689) atlamak için kötüye kullanılabilecek orta derecede önemdeki, uygunsuz erişim denetimi güvenlik açığını da giderir.
‘Sömürmek kolay’
Araştırmacı, kritik kusuru bulma konusunda kredi verdi, ‘Komşu‘, söylenmiş Günlük Swig: “Kusur temel olarak [an attacker] yönetici alanını çok özel bir şekilde XSS’ye dönüştürmek, kurbanın normal, düzenli tarama ile onu tetiklemesini çok kolaylaştırır. Bu, tam mağaza uzlaşması da dahil olmak üzere açıkça kötü şeylere yol açar. Yani… bu sanırım skoru açıklıyor.”
Şunları eklediler: “Bildiğim kadarıyla, onu kullanmak için özel bir ön koşul yok ve yama dışında gerçek bir hafifletme yok.
“Kusurdan yararlanmak oldukça kolay ve hiçbir şekilde kimlik doğrulama gerektirmiyor. Koduna bakarak hatayı buldum, [have] yapmak[ne] birkaç yıldır – artık kodlarını ezbere biliyorum.”
Blaklis’in önceki dikkate değer Magento bulguları, Şubat ayında Azure IoT CLI uzantısında bir ayrıcalık yükseltme güvenlik açığı içeriyordu. Günlük Swig2020’de bir çift kritik hata.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Gizli DNS çözümleyici güvensizliği, yaygın web sitesi ele geçirme riski oluşturur