Adobe ได้ออกเเพตซ์เเก้ไขความปลอดภัยฉุกเฉินเพื่อแก้ไขปัญหาร้ายแรงใน Magento แพลตฟอร์มจำนวน 9 รายการ โดยช่องโหว่ที่ทำการเเก้ไขนั้นจะกระทบกับ Magento Commerce และ Magento Open Source เวอร์ชัน 2.3.5-p1, 2.4.0 และรุ่นก่อนหน้า
ช่องโหว่ที่สำคัญใน Adobe Magento และได้รับการเเก้ไขแล้วถูกติดตามด้วยรหัส CVE-2020-24407 และ CVE-2020-24400 เป็นช่องโหว่การอัปโหลดไฟล์ที่จะอนุญาตให้มีการ bypass ลิตส์รายการและช่องโหว่ SQL injection ซึ่งช่องโหว่จะสามารถนำไปสู่การเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตหรือการเข้าถึงฐานข้อมูลแบบ read/write ได้โดยไม่ได้รับอนุญาต อย่างไรก็ตามช่องโหว่ทั้งสองผู้โจมตีต้องได้ได้รับสิทธิ์ระดับผู้ดูแลระบบอยู่ก่อนแล้วจึงจะสามารถใช้ประโยชน์จากช่องโหว่ได้
นอจากช่องโหว่ที่สำคัญทั้งสองแล้ว Adobe ยังได้ทำการเเก้ไขช่องโหว่ CVE-2020-24402 ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถจัดการและแก้ไขรายชื่อลูกค้า, CVE-2020-24408 cross-site scripting (XSS), CVE-2020-24401 ช่องโหว่ในการใช้ session, CVE-2020-24404 ช่องโหว่ที่สามารถเเก้ไขหน้าเพจ Magento CMS โดยไม่ได้รับอนุญาต, CVE-2020-24405 และ CVE-2020-24403 ซึ่งเป็นข้อบกพร่องการเข้าถึง resource ที่ถูกจำกัด และช่องโหว่ CVE-2020-24406 ช่องโหว่การเปิดเผยข้อมูลที่ละเอียดอ่อน
ทั้งนี้ผู้ใช้และผู้ดูแลระบบที่ใช้งาน Magento Commerce และ Magento Open Source ควรทำการอัปเดตเเพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ
ที่มา: zdnet.com