![Magento Magento](https://thehackernews.com/images/-k-CUKAG_ks8/YRNtb_0SuSI/AAAAAAAADfo/RS6HnaRnuJ8sPnmxwjCVZz1gkKSc2-88gCLcBGAsYHQ/s728-e1000/magento.jpg)
Adobe expédié mardi mises à jour de sécurité pour corriger plusieurs vulnérabilités critiques dans sa plate-forme de commerce électronique Magento qui pourraient être exploitées par un attaquant pour exécuter du code arbitraire et prendre le contrôle d’un système vulnérable.
Le problèmes affectent les versions 2.3.7, 2.4.2-p1, 2.4.2 et antérieures de Magento Commerce, et 2.3.7, 2.4.2-p1 et toutes les versions antérieures de l’édition Open Source de Magento. Sur les 26 failles corrigées, 20 sont classées critiques et six sont classées importantes en termes de gravité. Aucune des vulnérabilités corrigées ce mois-ci par Adobe n’est répertoriée comme étant connue du public ou faisant l’objet d’attaques actives au moment de la publication.
Les bogues les plus préoccupants sont les suivants –
- CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36040, CVE-2021-36041 et CVE-2021-36042 (score CVSS : 9.1) – Exécution de code arbitraire en raison d’une validation d’entrée incorrecte
- CVE-2021-36022 et CVE-2021-36023 (score CVSS : 9.1) – Exécution de code arbitraire due à l’injection de commandes OS
- CVE-2021-36028 et CVE-2021-36033 (score CVSS : 9.1) – Exécution de code arbitraire due à l’injection XML
- CVE-2021-36036 (score CVSS : 9,1) – Exécution de code arbitraire en raison d’un contrôle d’accès inapproprié
- CVE-2021-36029 (score CVSS : 9.1) – Contournement de la fonction de sécurité
- CVE-2021-36032 (score CVSS : 8,3) – Escalade de privilèges
- CVE-2021-36020 (score CVSS : 8,2) – Exécution de code arbitraire due à l’injection XML
- CVE-2021-36043 (score CVSS : 8,0) – Exécution de code arbitraire en raison d’une falsification de requête côté serveur (SSRF)
- CVE-2021-36044 (score CVSS : 7,5) – Déni de service applicatif
- CVE-2021-36030 (score CVSS : 7,5) – Contournement de la fonction de sécurité
- CVE-2021-36031 (score CVSS : 7.2) – Exécution de code arbitraire en raison de la traversée de chemin
L’exploitation réussie des vulnérabilités de pré-authentification susmentionnées pourrait être exploitée par un adversaire pour élever ses privilèges et exécuter un code malveillant, permettant ainsi à l’acteur malveillant de prendre le contrôle d’un site Magento et de son serveur.
Il est vivement conseillé aux utilisateurs d’agir rapidement pour télécharger les correctifs appropriés et de les installer afin d’atténuer les risques associés aux failles.