Компания Adobe выпустила большое обновление безопасности, которое устраняет критические уязвимости в платформе электронной коммерции Magento, а также важные ошибки в Adobe Connect.
Исправленные уязвимости влияют на 2.3.7, 2.4.2-P1, 2.4.2 и более ранние версии Magento Commerce, а также 2.3.7, 2.4.2-P1 и все предыдущие версии Magento Open Source Edition. Из 26 исправленных недостатков 20 оцениваются как критические, а еще шесть — как важные.
Наиболее серьезными проблемами, набравшими 9,1 баллов по шкале CVSS, стали:
- CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36040, CVE-2021-36041 и CVE-2021-36042 — выполнение произвольного кода из-за неправильной проверки ввода;
- CVE-2021-36022 и CVE-2021-36023 — выполнение произвольного кода из-за инъекций команд на уровне ОС;
- CVE-2021-36028 и CVE-2021-36033 — выполнение произвольного кода из-за XML-инъекций;
- CVE-2021-36036 — выполнение произвольного кода из-за некорректного контроля доступа;
- CVE-2021-36029 — обход защитных механизмов.
Сообщается, что ни одна из уязвимостей, исправленных Adobe в этом месяце, ранее не использовалась хакерами для атак. При этом успешная эксплуатация уязвимостей может привести к повышению привилегий и запуску вредоносного кода, что позволит злоумышленнику полностью захватить контроль над Magento-сайтом и его сервером.
