SK-CERT Bezpečnostné varovanie V20190809-02

Dôležitosť Kritická
Klasifikácia Neutajované/TLP WHITE
CVSS Skóre
9.6
Identifikátor
Magento kritické bezpečnostné zraniteľnosti
Popis
Vývojári E-commerce platformy Magento vydali bezpečnostnú aktualizáciu, ktorá opravuje 75 bezpečnostných zraniteľností, z ktorých 10 je označených ako kritických.
Najzávažnejšia bezpečnostná zraniteľnosť v administrátorskom panely umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom XSS útoku vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Dátum prvého zverejnenia varovania
25.06.2019
CVE
CVE-2019-7139, CVE-2019-7846, CVE-2019-7849, CVE-2019-7850, CVE-2019-7851, CVE-2019-7852, CVE-2019-7853, CVE-2019-7854, CVE-2019-7855, CVE-2019-7857, CVE-2019-7858, CVE-2019-7859, CVE-2019-7860, CVE-2019-7861, CVE-2019-7862, CVE-2019-7863, CVE-2019-7864, CVE-2019-7865, CVE-2019-7866, CVE-2019-7867, CVE-2019-7868, CVE-2019-7869, CVE-2019-7871, CVE-2019-7872, CVE-2019-7873, CVE-2019-7874, CVE-2019-7875, CVE-2019-7876, CVE-2019-7877, CVE-2019-7880, CVE-2019-7881, CVE-2019-7882, CVE-2019-7885, CVE-2019-7886, CVE-2019-7887, CVE-2019-7888, CVE-2019-7889, CVE-2019-7890, CVE-2019-7892, CVE-2019-7895, CVE-2019-7896, CVE-2019-7897, CVE-2019-7898, CVE-2019-7899, CVE-2019-7903, CVE-2019-7904, CVE-2019-7908, CVE-2019-7909, CVE-2019-7911, CVE-2019-7912, CVE-2019-7913, CVE-2019-7915, CVE-2019-7921, CVE-2019-7923, CVE-2019-7925, CVE-2019-7926, CVE-2019-7927, CVE-2019-7928, CVE-2019-7929, CVE-2019-7930, CVE-2019-7931, CVE-2019-7932, CVE-2019-7934, CVE-2019-7935, CVE-2019-7936, CVE-2019-7937, CVE-2019-7938, CVE-2019-7939, CVE-2019-7940, CVE-2019-7942, CVE-2019-7944, CVE-2019-7945, CVE-2019-7947, CVE-2019-7950, CVE-2019-7951
CVE
Zasiahnuté systémy
Magento verzie staršie ako 2.1.18, 2.2.9 a 2.3.2
Následky
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Odporúčania
Administrátorom odporúčame uistiť sa, či ich webové stránky nevyužívajú platformu Magento v zraniteľných verziách. V prípade, že áno, odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Po vykonaní aktualizácie odporúčame preveriť integritu databázy (napr. vytvorené používateľské účty) a prístupové logy na prítomnosť pokusov o SQL injekciu.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Zdroje
https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13
https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23
https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-33

« Späť na zoznam