La scorsa settimana, l’8 agosto 2023, Adobe ha rilasciato una patch di sicurezza critica per Adobe Commerce e Magento Open Source CMS. La patch fornisce correzioni per tre vulnerabilità che interessano le popolari piattaforme di e-commerce. Uno sfruttamento riuscito potrebbe portare all’esecuzione di codice arbitrario, all’escalation dei privilegi e alla lettura arbitraria del file system.
Le versioni interessate di Magento Open Source sono le seguenti:
- 2.4.6-p1 e precedenti
- 2.4.5-p3 e precedenti
- 2.4.4-p4 e precedenti
Si consiglia agli amministratori di siti Web di aggiornare immediatamente il proprio software per mitigare i rischi per i propri ambienti Magento e Adobe Commerce.
Dettagli sulla vulnerabilità
Iniezione di comandi del sistema operativo
Rischio per la sicurezza: critico Punteggio di base: 9,1 Livello di sfruttamento: richiede l'autenticazione dell'amministratore. Vulnerabilità: esecuzione di codice arbitrario CVE : CVE-2023-38208
Originariamente segnalato ad Adobe dal ricercatore Blaklis , CVE-2023-38208 è la vulnerabilità più grave risolta in questo ultimo aggiornamento. Se lasciato senza patch, può portare all’esecuzione di codice arbitrario da parte di un utente amministratore autenticato, consentendo potenzialmente a un malintenzionato di eseguire comandi nell’ambiente preso di mira.
Non è raro che gli aggressori creino account amministratore dannosi all’interno di ambienti Magento compromessi. Se un utente malintenzionato è già in grado di autenticarsi in un account amministratore, l’ambiente è già compromesso, ma questa vulnerabilità consentirebbe agli aggressori ancora più margine di manovra e controllo sull’ambiente.
Controllo di accesso improprio
Rischio per la sicurezza: medio Punteggio di base: 6,5 Livello di sfruttamento: richiede l'autenticazione di basso livello. Vulnerabilità: Privilege Escalation CVE : CVE-2023-38209
Originariamente segnalato ad Adobe dal ricercatore wohlie , CVE-2023-38209 è una vulnerabilità di livello medio che si verifica a causa di restrizioni di accesso improprie per utenti non autorizzati. Se lasciato senza patch, può consentire agli utenti con privilegi limitati di accedere ai dati di altri utenti all’interno dell’ambiente Magento.
Iniezione XML / Iniezione XPath cieca
Rischio per la sicurezza: medio Punteggio di base: 5,3 Livello di sfruttamento: nessuna autenticazione richiesta. Vulnerabilità: file system arbitrario Lettura CVE : CVE-2023-38207
Originariamente segnalato ad Adobe dal ricercatore wohlie , CVE-2023-38207 è una vulnerabilità di livello medio che si verifica perché gli elementi speciali utilizzati in XML non vengono neutralizzati correttamente. Se lasciato senza patch, può portare a leggere file system arbitrari minori nell’ambiente Magento.
Passi di mitigazione
Tutte e tre queste vulnerabilità potrebbero portare allo sfruttamento da parte degli aggressori se lasciate senza patch. L’aggiornamento di Adobe Commerce e Magento Open Source all’ultima versione di sicurezza aiuterà a correggere questi difetti di sicurezza e a mitigare i rischi per il tuo ambiente Magento.
Gli utenti Magento dovrebbero aggiornare il proprio software alle seguenti versioni:
- Magento Open Source 2.4.6-p2 per le versioni 2.4.6 e precedenti
- Magento Open Source 2.4.5-p4 per le versioni 2.4.5-p3 e precedenti
- Magento Open Source 2.4.4-p5 per le versioni 2.4.4-p3 e precedenti
Se ritieni che il tuo ambiente Magento sia già stato compromesso o infettato da malware, possiamo aiutarti. Contatta il nostro team per chattare con i nostri esperti Magento .