ผู้ใช้งาน Magento มีอัปเดตแพตช์ใหม่ในเวอร์ชัน 2.3.4 ซึ่งมีการแก้ไขช่องโหว่ 6 รายการ โดย 3 รายการถูกจัดว่าร้ายแรงจึงแนะนำให้ผู้ใช้งานอัปเดต
ช่องโหว่ 6 รายการมีดังนี้
- CVE-2020-3716 – เป็นช่องโหว่ลอบรันโค้ด
- CVE-2020-3719 – ช่องโหว่ SQL Injection ที่นำไปสู่การเปิดเผยข้อมูล
- CVE-2020-3718 – ช่องโหว่ Bypass ความมั่นคงปลอดภัยที่นำไปสู่การลอบรันโค้ด
- CVE-2020-3715 และ CVE-2020-3758 – เป็นช่องโหว่ Cross-site Scripting (XSS)
- CVE-2020-3717 – ช่องโหว่ Path Traversal
ช่องโหว่ข้างต้นส่งผลกระทบทั้ง Magento Commerce เวอร์ชัน 2.3.3 (และก่อนหน้า) และ Magento Open-source เวอร์ชัน 2.2.10 (และก่อนหน้า) รวมถึง Magento Enterprise 1.14.4.3 (และก่อนหน้า) และ Magento Community Edition 1.9.4.3 (และก่อนหน้า) อย่างไรก็ตามปัจจุบันทาง Adobe ได้เปิดแพตช์เฉพาะอัปเดตความมั่นคงปลอดภัยเท่านั้นที่ไม่ได้เกี่ยวกับการเพิ่มเติมความสามารถอื่นๆ จึงเป็นทางเลือกสำหรับผู้ที่ต้องการแก้ไขเฉพาะบั๊กอีกทางหนึ่งครับ
ที่มา : https://www.securityweek.com/magento-234-patches-critical-code-execution-vulnerabilities
from:https://www.techtalkthai.com/magento-234-patches-6-vulnerabilities/
techfeedthai 