В Magento исправили RCE-уязвимость

Разработчики популярной ecommerce-платформы рекомендуют пользователям срочно обновиться, так как в Magento исправили уязвимость, позволяющую злоумышленнику выполнить произвольный код.

Проблема получила идентификатор CVE-2019-8144 и набрала максимальные 10 баллов по шкале оценки уязвимостей CVSS. Уязвимость связана с работой PageBuilder и затрагивает Magento версий от 2.3 до 2.3.3, а также 2.3.2-p1.

Проблема была устранена с релизом Magento Commerce 2.3.3, а также в отдельном обновлении безопасности 2.3.2-p2. То есть сайты, на которые не были установлены обновления и работающие с неподдерживаемыми версиями Page Builder (к примеру, Page Builder Beta) могут быть уязвимы для атак.

«Данная уязвимость позволяет неаутентифицированному пользователю вставить вредоносный пейлоад на сайт продавца и запустить его, поэтому мы рекомендуем установить обновление как можно быстрее», — сообщают разработчики и рекомендуют пользователям не только установить патч, но перейти на новейшую версию 2.3.3.

Также разработчики сообщили, что ранее для защиты клиентов от этой уязвимости были предприняты определенные меры, из-за которых администраторы сайтов временно лишились возможности предварительного просмотра продуктов, блоков и динамических блоков. Теперь эта функциональность снова станет доступна.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.