Magento corrige des vulnérabilités dans ses produits Commerce et Open Source

Plusieurs vulnérabilités critiques et importantes ont été corrigées dans SUPEE-10752, Magento Commerce version 1.14.3.9 et Open Source versions 1.9.3.9, 2.2.5 et 2.1.14. L'exploitation de ces vulnérabilités permettrait notamment l'exécution de code arbitraire à distance avec des privilèges administrateur, l'injection de requêtes SQL, l'injection de code (XSS) et l'injection de requêtes illégitimes par rebond (CSRF).

La liste détaillée des vulnérabilités corrigées est disponible dans la section "Liens" de cet article.

Informations
+

Impact

  • Confidentialité
  • Disponibilité
  • Intégrité
  • Exécution de code arbitraire à distance avec les privilèges administrateur

Criticité

  • CVSS v3 : 9.8 (CVSS de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Magento Commerce versions 1.9.0.0-1.14.3.9, 2.2.5 et 2.1.14
  • Magento Open Source versions 1.5.0.0-1.9.3.9, 2.2.5 et 2.1.14

CVE

  • Non référencées

Recommandations
+

Correctifs

  • Un correctif de sécurité a été publié par Magento.

Solution de contournement

  • Il n’existe actuellement pas de solution de contournement.