- 19,427
- 40
- 8 Ноя 2022
Magento выглядела вполне нормально, пока в ней не нашли способ запускать произвольный код.
Adobe выпустила Для просмотра ссылки Войдиили Зарегистрируйся , закрывающее сразу 254 уязвимости в своих продуктах. Подавляющее большинство — 225 уязвимостей — были обнаружены в Adobe Experience Manager (AEM), включая облачную версию Cloud Service и все сборки до и включая версию 6.5.22. Проблемы были устранены в релизе AEM Cloud Service 2025.5 и версии 6.5.23.
По данным компании, успешная эксплуатация этих уязвимостей может привести к выполнению произвольного кода, повышению привилегий и обходу механизмов защиты. При этом почти все обнаруженные проблемы классифицированы как XSS — в частности, речь идёт о хранимых XSS и DOM-ориентированных XSS-атаках. Эти типы уязвимостей позволяют внедрять вредоносный JavaScript-код, который будет выполняться в браузере жертвы при взаимодействии с заражённым контентом.
Исследованиями и сообщением об уязвимостях в AEM занимались специалисты под псевдонимами Jim Green (green-jam), Akshay Sharma (anonymous_blackzero) и lpi, чьи отчёты помогли Adobe вовремя устранить риски.
Однако наиболее критическая Для просмотра ссылки Войдиили Зарегистрируйся этого раунда исправлений затронула не AEM, а Adobe Commerce и Magento Open Source. Уязвимость Для просмотра ссылки Войди или Зарегистрируйся получила высокий балл 9.1 по шкале CVSS и представляет собой уязвимость типа Для просмотра ссылки Войди или Зарегистрируйся , через которую также возможно выполнение произвольного кода. Дополнительно была устранена проблема Для просмотра ссылки Войди или Зарегистрируйся с оценкой 8.2 — ошибка авторизации, которая позволяет обойти механизмы защиты.
Атакам подвержены следующие версии продуктов:
или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся ) и в Substance 3D Sampler ( Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся ). Все они имеют уровень опасности 7.8 по CVSS и представляют собой потенциальную угрозу при открытии специально сформированных файлов.
На момент публикации информации ни одна из уязвимостей не была публично раскрыта или использована в атаках, однако Adobe настоятельно рекомендует пользователям немедленно обновить программное обеспечение до актуальных версий, чтобы предотвратить возможные инциденты.
Adobe выпустила Для просмотра ссылки Войди
По данным компании, успешная эксплуатация этих уязвимостей может привести к выполнению произвольного кода, повышению привилегий и обходу механизмов защиты. При этом почти все обнаруженные проблемы классифицированы как XSS — в частности, речь идёт о хранимых XSS и DOM-ориентированных XSS-атаках. Эти типы уязвимостей позволяют внедрять вредоносный JavaScript-код, который будет выполняться в браузере жертвы при взаимодействии с заражённым контентом.
Исследованиями и сообщением об уязвимостях в AEM занимались специалисты под псевдонимами Jim Green (green-jam), Akshay Sharma (anonymous_blackzero) и lpi, чьи отчёты помогли Adobe вовремя устранить риски.
Однако наиболее критическая Для просмотра ссылки Войди
Атакам подвержены следующие версии продуктов:
- Adobe Commerce: версии 2.4.8, 2.4.7-p5 и более ранние, 2.4.6-p10 и более ранние, 2.4.5-p12 и более ранние, 2.4.4-p13 и более ранние;
- Adobe Commerce B2B: версии 1.5.2 и более ранние, 1.4.2-p5 и более ранние, 1.3.5-p10 и более ранние, 1.3.4-p12 и более ранние, 1.3.3-p13 и более ранние;
- Magento Open Source: версии 2.4.8, 2.4.7-p5 и более ранние, 2.4.6-p10 и более ранние, 2.4.5-p12 и более ранние.
На момент публикации информации ни одна из уязвимостей не была публично раскрыта или использована в атаках, однако Adobe настоятельно рекомендует пользователям немедленно обновить программное обеспечение до актуальных версий, чтобы предотвратить возможные инциденты.
- Источник новости
- www.securitylab.ru
