Breaking News

Magento ออก Patch 2.0.6 อุดช่องโหว่ความรุนแรงระดับสูง เตือนผู้ใช้งานทำการ Patch โดยด่วน

magento-patches

Magento ออก Patch อุดช่องโหว่ระดับ Critical ที่ทำให้แฮ็คเกอร์สามารถทำการ Execute โค้ด PHP บน Server ปลายทางผ่าน API ได้โดยที่ไม่จำเป็นต้องทำการยืนยันตัวตน (Remote Code Execution) โดยช่องโหว่นี้มีความรุนแรงระดับ 9.8 เต็ม 10

ช่องโหว่นี้มีรหัส CVE-2016-4010 รุ่นที่ได้รับผลกระทบคือ Magento CE และ EE เวอร์ชันก่อน 2.0.6 ซึ่งจะทำให้แฮ็คเกอร์สามารถทำการโจมตีผ่าน REST หรือ SOAP API ได้ เนื่องจาก API ทั้ง 2 ช่องทางนี้จะถูกเปิดใช้งานโดย Default อยู่แล้ว โดย Netanel Rubin ซึ่งเป็นนักวิจัยด้านความปลอดภัยได้เขียนอธิบายเชิงเทคนิคไว้ใน Blog Post ว่าช่องโหว่นี้เกิดขึ้นจากการใช้งาน ‘webapi.xml’ ที่เป็นส่วนหนึ่ง Module สำหรับการเชื่อมต่อ Front-end และ Back-end ของระบบนั่นเอง สำหรับหนทางแก้ไขคือ ผู้ดูแลระบบควรทำการ Patch Magento 2.0.6 โดยด่วน

ที่มา : http://www.scmagazine.com/magento-flaw-allowed-hackers-to-execute-code-using-apis/article/497165/


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

TechTalk Webinar: เตรียมพร้อมเข้าสู่ยุคแห่งนวัตกรรมอาหารและเครื่องดื่มในยุค Industry 4.0 ไปกับ Infor M3 ERP for Food & Beverage โดย Infor

Infor ขอเรียนเชิญเหล่าผู้บริหารธุรกิจและผู้จัดการฝ่าย IT ในธุรกิจโรงงานและการผลิตทางด้านอาหารและเครื่องดื่ม รวมถึงผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "เตรียมพร้อมเข้าสู่ยุคแห่งนวัตกรรมอาหารและเครื่องดื่มในยุค Industry 4.0 ไปกับ Infor M3 ERP for Food & Beverage โดย Infor" เพื่อรู้จักกับโซลูชัน Infor M3 ระบบ ERP ที่ถูกออกแบบมาเพื่อรองรับการผลิตสำหรับอุตสาหกรรมอาหารและเครื่องดื่มโดยเฉพาะ พร้อมเรียนรู้แนวงทางการวางระบบ ERP ร่วมกับระบบการผลิตและระบบวางแผน Supply Chain ในวันพฤหัสบดีที่ 27 กันยายน 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

Google เตรียมทดสอบ DNS over HTTPS (DoH) บน Chrome 78

หลังจากที่ Mozilla ประกาศเตรียมเปิดใช้ฟีเจอร์ DNS over HTTPS (DoH) โดยอัตโนมัติสำหรับผู้ใช้ Firefox ในสหรัฐฯ เร็วๆ นี้ ล่าสุด Google ได้ประกาศเตรียมทดสอบฟีเจอร์ดังกล่าวบน …