Adobe ได้ทำการเปิดตัวเเพตซ์อัปเดตความปลอดภัยเพื่อเเก้ไขช่องโหว่ Code Execution ที่มีผลกระทบต่อ Adobe Magento Commerce และ Adobe Magento Open Source โดยรายละเอียดช่องโหว่ที่ได้รับเเก้ไขมีดังนี้
- ช่องโหว่ CVE-2020-9689 เป็นช่องโหว่ Path Traversal ช่องโหว่จะช่วยให้ผู้โจมตีที่มีสิทธิ์ของผู้ดูแลระบบสามารถทำการเรียกใช้โค้ดได้โดยไม่รับอนุญาต
- ช่องโหว่ CVE-2020-9691 เป็นช่องโหว่ DOM-based Cross-Site Scripting (XSS) ช่องโหว่จะช่วยให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธ์สามารถรันโค้ดได้โดยไม่รับอนุญาตบนเครื่องที่ยังไม่ได้รับการเเพตซ์ช่องโหว่
- ช่องโหว่ CVE-2020-9690 เป็นช่องโหว่ Observable Timing Discrepancy ช่องโหว่จะทำให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบสามารถ Bypass การตรวจสอบ Signature ได้
ช่องโหว่มีผลกระทบกับ Magento Commerce รุ่นก่อนหน้าเวอร์ชัน 2.3.5-p1 และ Magento Open Source รุ่นก่อนหน้าเวอร์ชัน 2.3.5-p1
Adobe กล่าวว่าสำหรับผู้ใช้งานที่ทำการติดตั้ง Magento Commerce และ Magento Open Source รุ่นที่มีช่องโหว่จะได้รับการเเนะนำให้ทำการติดตั้งเป็นเวอร์ชันใหม่ล่าสุด (2.4.0) หรือผู้ใช้สามารถอัปเกรดการติดตั้งเป็น Magento Commerce 2.3.5-p2 หรือ Magento Open Source 2.3.5-p2 นอกจากนี้ Adobe ได้เเนะนำให้ผู้ใช้ควรรีบทำการอัปเดตเเพตซ์การเเก้ไขช่องโหว่ให้เร็วที่สุดเพื่อปิดช่องทางการใช้ประโยชน์จากช่องโหว่ของผู้โจมตี
ที่มา: bleepingcomputer.com