Magento 2.3.4 lançado com correções para vulnerabilidades críticas

A Adobe lançou o Magento 2.3.4 com correções para vulnerabilidades críticas de execução de código. Confira os detalhes dessa atualização.

O Magento é um poderoso e totalmente modular sistema web de e-commerce de código aberto baseado em PHP e MySQL utilizando elementos do Framework Zend, desenvolvido pela Magento Inc.

Magento 2.3.4 lançado com correções para vulnerabilidades críticas
Magento 2.3.4 lançado com correções para vulnerabilidades críticas

Agora, a Adobe, atual proprietária da marca Magento, atualizou seu software de comércio eletrônico para todas as plataformas suportadas, com correções para múltiplas vulnerabilidades. Aliás, alguns das falhas têm severidade crítica e os hackers podem explorá-los para executar código arbitrário.

Magento 2.3.4 lançado com correções para vulnerabilidades críticas

Magento 2.3.4 lançado com correções para vulnerabilidades críticas
Magento 2.3.4 lançado com correções para vulnerabilidades críticas

Os bugs de segurança afetam o Magento Commerce (2.3.3/2.2.10 e anterior), Open Source (2.3.3/2.2.10 e abaixo), Enterprise Edition (1.14.4.3 e anterior) e Community Edition (1.9.4.3 e anteriormente). Novos lançamentos estão agora disponíveis para cada um deles.

As atualizações presentes no Magento 2.3.4 abordam seis vulnerabilidades, metade delas classificadas como críticas. O restante delas são marcadas como importante.

Dois dos erros críticos são a desserialização de dados não confiáveis ​​(CVE-2020-3716) e um desvio de segurança (CVE-2020-3718), ambos levando à execução arbitrária de código.

Um terceiro, classificado com a mesma gravidade crítica, é uma injeção de SQL (CVE-2020-3719) e pode ser explorado para vazar informações confidenciais.

A gravidade das outras três vulnerabilidades (duas scripts entre sites armazenadas e uma passagem de caminho) foi avaliada como importante. Um hacker poderia aproveitá-los para obter informações confidenciais que poderiam servir para promover o ataque.

O Magento 2.3.4 está disponível para download e os administradores são recomendados para instalá-lo o mais rápido possível.

A classificação de prioridade para esta tarefa é 2, o que significa que o risco de atacar este produto é elevado, mas não há explorações conhecidas no momento.

ProdutoDisponibilidade
Magento Commerce2.3.4 Commerce
Magento Open Source2.3.4 Open Source
Magento Commerce2.2.11 Commerce
Magento Open Source2.2.11 Open Source
Magento Enterprise Edition1.14.4 EE
Magento Community Edition1.9.4.4 CE

As lojas Magento são frequentemente hackeadas usando vulnerabilidades conhecidas para plantar códigos JavaScript maliciosos que roubam dados de cartões de pagamento e informações confidenciais de clientes de formulários carregados.

Conhecidos como MageCart, porque inicialmente tinham como alvo sites que executam a plataforma Magento, esses ataques cresceram muito ultimamente. Existem vários grupos de cibercriminosos envolvidos nessa atividade que já atingiu centenas de milhares de lojas.

Recentemente, com a ajuda da Interpol e da empresa de segurança cibernética Group-IB, a polícia da Indonésia prendeu três indivíduos sob suspeita de executar ataques do MageCart.

A partir deste lançamento, os bugs do Magento serão documentados pela Adobe, que concluiu a aquisição da plataforma de comércio eletrônico em meados de 2018.

Mas a atualização atual do Magento aborda mais do que apenas vulnerabilidades de segurança.

Magento 2.3.4 também traz aprimoramentos do construtor de páginas, integração com o Adobe Stock, compatibilidade com as fachadas das lojas baseadas no PWA Studio, além de outras atualizações em toda a plataforma.

Um post completo com as alterações está disponível no site Magento.

O que está sendo falado no blog

Veja mais artigos publicados neste dia…

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.