Magento e-ticaret yazılımı, desteklenen tüm platformlar için birden fazla güvenlik açığıyla ilgili düzeltme yayınladı. Bazılarında kritik açıklar bulunmaktadır ve hackerlar tarafından exploit çalıştırmak için kullanılabilmektedir.
Magento Commerce (2.3.3 / 2.2.10 ve altı) versiyonlarındaki güvenlik hataları için, Açık Kaynak (2.3.3 / 2.2.10 ve altı), Enterprise Edition (1.14.4.3 ve öncesi) ve Community Edition (1.9.4.3 ve altı) versiyonları için güncel versiyon bulunmaktadır.
Güncellemeler, yarısı kritik olarak değerlendirilen altı güvenlik açığını ele almaktadır.
Kritik hatalardan ikisi, güvenilmeyen verilerin serileştirilmesi (CVE-2020-3716) ve her ikisi de rastgele kod yürütülmesine yol açan bir güvenlik açığıdır (CVE-2020-3718).
Aynı kritik seviyede olan üçüncü güvenlik açığı ise bir SQL Injections (CVE-2020-3719) açığıdır ve hassas bilgileri sızdırmak için kullanılabilir.
Diğer üç güvenlik açığının seviyesi (depolanan iki siteler arası komut dosyası oluşturma ve bir yol geçişi) önemli olarak değerlendirilmiştir. Hackerlar bu saldırıyı hassas bilgiler elde etmek için kullanabilir.
Magento mağazaları, ödeme kartı verilerini ve yüklü formlardaki müşteri bilgilerini çalan kötü amaçlı JavaScript kodundaki güvenlik açıkları kullanılarak saldırıya uğramaktadır.
Son sürümden itibaren bütün Magento hatalarının, 2018’in ortasında e-ticaret platformunu satın alan Adobe tarafından belgeleneceği duyuruldu.
Kaynak
