A Adobe lançou o Magento 2.3.4 com correções para vulnerabilidades críticas de execução de código. Confira os detalhes dessa atualização.
O Magento é um poderoso e totalmente modular sistema web de e-commerce de código aberto baseado em PHP e MySQL utilizando elementos do Framework Zend, desenvolvido pela Magento Inc.
Agora, a Adobe, atual proprietária da marca Magento, atualizou seu software de comércio eletrônico para todas as plataformas suportadas, com correções para múltiplas vulnerabilidades. Aliás, alguns das falhas têm severidade crítica e os hackers podem explorá-los para executar código arbitrário.
Magento 2.3.4 lançado com correções para vulnerabilidades críticas
Os bugs de segurança afetam o Magento Commerce (2.3.3/2.2.10 e anterior), Open Source (2.3.3/2.2.10 e abaixo), Enterprise Edition (1.14.4.3 e anterior) e Community Edition (1.9.4.3 e anteriormente). Novos lançamentos estão agora disponíveis para cada um deles.
As atualizações presentes no Magento 2.3.4 abordam seis vulnerabilidades, metade delas classificadas como críticas. O restante delas são marcadas como importante.
Dois dos erros críticos são a desserialização de dados não confiáveis (CVE-2020-3716) e um desvio de segurança (CVE-2020-3718), ambos levando à execução arbitrária de código.
Um terceiro, classificado com a mesma gravidade crítica, é uma injeção de SQL (CVE-2020-3719) e pode ser explorado para vazar informações confidenciais.
A gravidade das outras três vulnerabilidades (duas scripts entre sites armazenadas e uma passagem de caminho) foi avaliada como importante. Um hacker poderia aproveitá-los para obter informações confidenciais que poderiam servir para promover o ataque.
O Magento 2.3.4 está disponível para download e os administradores são recomendados para instalá-lo o mais rápido possível.
A classificação de prioridade para esta tarefa é 2, o que significa que o risco de atacar este produto é elevado, mas não há explorações conhecidas no momento.
Produto | Disponibilidade |
Magento Commerce | 2.3.4 Commerce |
Magento Open Source | 2.3.4 Open Source |
Magento Commerce | 2.2.11 Commerce |
Magento Open Source | 2.2.11 Open Source |
Magento Enterprise Edition | 1.14.4 EE |
Magento Community Edition | 1.9.4.4 CE |
As lojas Magento são frequentemente hackeadas usando vulnerabilidades conhecidas para plantar códigos JavaScript maliciosos que roubam dados de cartões de pagamento e informações confidenciais de clientes de formulários carregados.
Conhecidos como MageCart, porque inicialmente tinham como alvo sites que executam a plataforma Magento, esses ataques cresceram muito ultimamente. Existem vários grupos de cibercriminosos envolvidos nessa atividade que já atingiu centenas de milhares de lojas.
Recentemente, com a ajuda da Interpol e da empresa de segurança cibernética Group-IB, a polícia da Indonésia prendeu três indivíduos sob suspeita de executar ataques do MageCart.
A partir deste lançamento, os bugs do Magento serão documentados pela Adobe, que concluiu a aquisição da plataforma de comércio eletrônico em meados de 2018.
Mas a atualização atual do Magento aborda mais do que apenas vulnerabilidades de segurança.
Magento 2.3.4 também traz aprimoramentos do construtor de páginas, integração com o Adobe Stock, compatibilidade com as fachadas das lojas baseadas no PWA Studio, além de outras atualizações em toda a plataforma.
Um post completo com as alterações está disponível no site Magento.
- Como instalar o jogo AstroMenace no Linux via Flatpak
- Como instalar o jogo Biplanes Revival no Linux via Flatpak
- Instalando o simulador de corridas Speed Dreams no Linux
- Como instalar o jogo de corrida SuperTuxKart no Linux