ADPT

Magento ออกแพตช์ช่องโหว่ร้ายแรงในเวอร์ชัน 2.3.4 แนะผู้ใช้ควรอัปเดต

ผู้ใช้งาน Magento มีอัปเดตแพตช์ใหม่ในเวอร์ชัน 2.3.4 ซึ่งมีการแก้ไขช่องโหว่ 6 รายการ โดย 3 รายการถูกจัดว่าร้ายแรงจึงแนะนำให้ผู้ใช้งานอัปเดต

Credit: Magento

ช่องโหว่ 6 รายการมีดังนี้

  • CVE-2020-3716 – เป็นช่องโหว่ลอบรันโค้ด
  • CVE-2020-3719 – ช่องโหว่ SQL Injection ที่นำไปสู่การเปิดเผยข้อมูล
  • CVE-2020-3718 – ช่องโหว่ Bypass ความมั่นคงปลอดภัยที่นำไปสู่การลอบรันโค้ด
  • CVE-2020-3715 และ CVE-2020-3758 – เป็นช่องโหว่ Cross-site Scripting (XSS) 
  • CVE-2020-3717 – ช่องโหว่ Path Traversal

ช่องโหว่ข้างต้นส่งผลกระทบทั้ง Magento Commerce เวอร์ชัน 2.3.3 (และก่อนหน้า) และ Magento Open-source เวอร์ชัน 2.2.10 (และก่อนหน้า) รวมถึง Magento Enterprise 1.14.4.3 (และก่อนหน้า) และ Magento Community Edition 1.9.4.3 (และก่อนหน้า) อย่างไรก็ตามปัจจุบันทาง Adobe ได้เปิดแพตช์เฉพาะอัปเดตความมั่นคงปลอดภัยเท่านั้นที่ไม่ได้เกี่ยวกับการเพิ่มเติมความสามารถอื่นๆ จึงเป็นทางเลือกสำหรับผู้ที่ต้องการแก้ไขเฉพาะบั๊กอีกทางหนึ่งครับ

ที่มา :  https://www.securityweek.com/magento-234-patches-critical-code-execution-vulnerabilities


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

GIGABYTE Webinar: The Future of Open-Source Powered Infrastructure Cloud Technologies

GIGABYTE ร่วมกับ NIPA Cloud ขอเรียนเชิญผู้บริหาร ผู้ปฏิบัติงาน และผู้ที่สนใจเรื่อง Cloud Technologies เข้าร่วมงานสัมมนาออนไลน์ “The Future of Open-Source Powered Infrastructure Cloud Technologies“ พร้อมเปิดเผยแนวคิดและเทคโนโลยีเบื้องหลังของ NIPA Enterprise Public Cloud คลาวด์สัญชาติไทยที่ใช้เทคโนโลยี Open Source ทั้งหมด ไม่ว่าจะเป็น OpenStack Compute, Ceph Storage และ Tungsten Fabric Networking ก่อเป็น Cloud Infrastructure เทียบเท่าคลาวด์ระดับโลก พร้อมด้วย GRAID Technology จาก GIGABYTE และ AMD EPYC 3rd Gen ในวันพฤหัสบดีที่ 28 ตุลาคม 2021 เวลา 14:00 น. ผ่านทาง Live Webinar ฟรี

[Guest Post]“GBDi” โชว์ระบบ CO-link 4 เดือน ผู้ป่วยเข้าถึงการรักษาเกือบแสนราย พร้อมขยายระบบเชื่อมโยงข้อมูลจองและรับวัคซีนโควิด-19

สำนักงานส่งเสริมเศรษฐกิจดิจิทัล โดย สถาบันส่งเสริมการวิเคราะห์และบริหารข้อมูลขนาดใหญ่ภาครัฐ จัดทำระบบบริหารจัดการเตียงสำหรับผู้ป่วยโควิด-19 ภายใต้ชื่อ CO-link เฉพาะในพื้นที่กรุงเทพมหานครและปริมณฑล เผยตั้งแต่เดือนพฤษภาคมที่ผ่านมาจนถึงปัจจุบัน สามารถติดตามผู้ป่วยจนเข้าสู่ระบบการรักษาไปแล้วเกือบแสนราย พร้อมขยายระบบเชื่อมโยงข้อมูลการจองและรับวัคซีน เพื่อลดความซ้ำซ้อน หนุนกระทรวงสาธารณสุขจัดหาวัคซีนได้แม่นยำมากขึ้น