Magento ออก Patch 2.0.6 อุดช่องโหว่ความรุนแรงระดับสูง เตือนผู้ใช้งานทำการ Patch โดยด่วน

magento-patches

Magento ออก Patch อุดช่องโหว่ระดับ Critical ที่ทำให้แฮ็คเกอร์สามารถทำการ Execute โค้ด PHP บน Server ปลายทางผ่าน API ได้โดยที่ไม่จำเป็นต้องทำการยืนยันตัวตน (Remote Code Execution) โดยช่องโหว่นี้มีความรุนแรงระดับ 9.8 เต็ม 10

ช่องโหว่นี้มีรหัส CVE-2016-4010 รุ่นที่ได้รับผลกระทบคือ Magento CE และ EE เวอร์ชันก่อน 2.0.6 ซึ่งจะทำให้แฮ็คเกอร์สามารถทำการโจมตีผ่าน REST หรือ SOAP API ได้ เนื่องจาก API ทั้ง 2 ช่องทางนี้จะถูกเปิดใช้งานโดย Default อยู่แล้ว โดย Netanel Rubin ซึ่งเป็นนักวิจัยด้านความปลอดภัยได้เขียนอธิบายเชิงเทคนิคไว้ใน Blog Post ว่าช่องโหว่นี้เกิดขึ้นจากการใช้งาน ‘webapi.xml’ ที่เป็นส่วนหนึ่ง Module สำหรับการเชื่อมต่อ Front-end และ Back-end ของระบบนั่นเอง สำหรับหนทางแก้ไขคือ ผู้ดูแลระบบควรทำการ Patch Magento 2.0.6 โดยด่วน

ที่มา : http://www.scmagazine.com/magento-flaw-allowed-hackers-to-execute-code-using-apis/article/497165/



About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

สัมภาษณ์คุณสุทัศน์ GM แห่ง Express Software Group ผู้พัฒนาระบบซอฟต์แวร์บัญชีชื่อดังของไทย กับการก้าวสู่ Cloud ในปัจจุบัน

ทางทีมงาน TechTalkThai มีโอกาสได้รับเชิญให้ไปสัมภาษณ์คุณสุทัศน์ สกุลนิวัฒน์ หนึ่งในผู้ร่วมก่อตั้งและ General Manager (GM) แห่งบริษัท เอ็กซ์เพรสซอฟท์แวร์กรุ๊ป จำกัด หรือที่สาย IT อย่างเราๆ รู้จักกันในชื่อซอฟต์แวร์บัญชี …

TechTalk Webinar: Patch Management 101 โดย IBM Security ประเทศไทย

เหตุการณ์แพร่ระบาดของ WannaCry Ransomware ทำให้หลายองค์กรตระหนักถึงความสำคัญของการปฏิบัติการด้านความมั่นคงปลอดภัย โดยเฉพาะอย่างยิ่งกระบวนการอัปเดตแพทช์ TechTalkThai จึงร่วมกับ IBM Security จัด TechTalk Webinar ในหัวข้อเรื่อง “Patch Management …