Black Hat Asia 2021

Magento ออกแพตช์ช่องโหว่ร้ายแรงในเวอร์ชัน 2.3.4 แนะผู้ใช้ควรอัปเดต

ผู้ใช้งาน Magento มีอัปเดตแพตช์ใหม่ในเวอร์ชัน 2.3.4 ซึ่งมีการแก้ไขช่องโหว่ 6 รายการ โดย 3 รายการถูกจัดว่าร้ายแรงจึงแนะนำให้ผู้ใช้งานอัปเดต

Credit: Magento

ช่องโหว่ 6 รายการมีดังนี้

  • CVE-2020-3716 – เป็นช่องโหว่ลอบรันโค้ด
  • CVE-2020-3719 – ช่องโหว่ SQL Injection ที่นำไปสู่การเปิดเผยข้อมูล
  • CVE-2020-3718 – ช่องโหว่ Bypass ความมั่นคงปลอดภัยที่นำไปสู่การลอบรันโค้ด
  • CVE-2020-3715 และ CVE-2020-3758 – เป็นช่องโหว่ Cross-site Scripting (XSS) 
  • CVE-2020-3717 – ช่องโหว่ Path Traversal

ช่องโหว่ข้างต้นส่งผลกระทบทั้ง Magento Commerce เวอร์ชัน 2.3.3 (และก่อนหน้า) และ Magento Open-source เวอร์ชัน 2.2.10 (และก่อนหน้า) รวมถึง Magento Enterprise 1.14.4.3 (และก่อนหน้า) และ Magento Community Edition 1.9.4.3 (และก่อนหน้า) อย่างไรก็ตามปัจจุบันทาง Adobe ได้เปิดแพตช์เฉพาะอัปเดตความมั่นคงปลอดภัยเท่านั้นที่ไม่ได้เกี่ยวกับการเพิ่มเติมความสามารถอื่นๆ จึงเป็นทางเลือกสำหรับผู้ที่ต้องการแก้ไขเฉพาะบั๊กอีกทางหนึ่งครับ

ที่มา :  https://www.securityweek.com/magento-234-patches-critical-code-execution-vulnerabilities

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

รู้จัก eCloudvalley: ผู้ที่ให้บริการ AWS Managed Service และ Consulting ระดับโลกที่จะช่วยให้การใช้ AWS ของธุรกิจองค์กรง่ายดาย คุ้มค่า และประหยัดค่าใช้จ่ายมากกว่า 30%

AWS นั้นได้กลายเป็นบริการ Cloud มาตรฐานหลักที่หลายธุรกิจองค์กรในไทยเลือกใช้งานสำหรับระบบ IT และธุรกิจสำคัญสำหรับองค์กรไปแล้ว แต่ในการใช้งานบริการของ AWS ในระยะยาวนั้น ก็ย่อมทำให้องค์กรต้องเผชิญกับความท้าทายใหม่ๆตลอดเวลาไม่ว่าจะเป็น การบริหารจัดการค่าใช้จ่ายที่เกิดขึ้นบน AWS ให้มีความคุ้มค่ามากที่สุด การนำ Workload ที่มีความสำคัญไปติดตั้งใช้งานบน AWS ให้สำเร็จ การนำเทคโนโลยีล่าสุดบน AWS มาใช้สร้างคุณค่าใหม่ๆ ให้กับธุรกิจขององค์กร eCloudvalley ในฐานะของ AWS Premier Partner ระดับโลกที่มีลูกค้าธุรกิจองค์กรมากกว่า 1,000 แห่งให้ความไว้วางใจในการดูแลรักษาระบบของ AWS รวมถึงยังมีความโดดเด่นในการให้บริการ AWS ที่หลากหลายและแตกต่างจากผู้ให้บริการรายอื่น ซึ่งทางบริษัทได้ก้าวเข้าสู่ตลาดประเทศไทยและเป็นอีกทางเลือกให้ธุรกิจไทยสามารถใช้งาน AWS ได้อย่างคุ้มค่า เต็มศักยภาพสูงสุดแล้วในวันนี้

เซลส์ฟอร์ซ Webinar: สรรหาและรักษาบุคลากรที่มีความสามารถ เพื่อก้าวสู่การทำงานแห่งอนาคต [12 พ.ค. 2021 – 09.30น.]

TechTalkThai ขอเรียนเชิญ CIO, CTO, CHRO, IT Manager, HR Manager, ผู้ดูแลระบบ IT, เจ้าหน้าที่ฝ่ายทรัพยากรบุคคล และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "สรรหาและรักษาบุคลากรที่มีความสามารถ เพื่อก้าวสู่การทำงานแห่งอนาคต โดย เซลส์ฟอร์ซ" เพื่อทำความรู้จักเทคโนโลยีสำหรับฝ่าย HR และ IT ในการสร้าง Employee Experience ที่ดีซึ่งจะช่วยให้ธุรกิจองค์กรสามารถดำเนินต่อไปได้ท่ามกลางการทำงานแบบ Remote Work อย่างมีประสิทธิภาพ ในวันพุธที่ 12 พฤษภาคม 2021 เวลา 9.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้