أعلنت Adobe عن ثغرة أمنية خطيرة تؤثر على Adobe Commerce و Magento Open Source. تعرض تجار Adobe Commerce للهجوم واستغلال الثغرة الأمنية في البرية الآن.
من التفاصيل المهمة للثغرة الأمنية التي تشاركها Adobe أنه لا توجد مصادقة مطلوبة لتنفيذ استغلال ناجح بنجاح.
هذا يعني أن المهاجم لا يحتاج إلى الحصول على امتياز تسجيل دخول المستخدم لاستغلال الثغرة الأمنية.
التفاصيل الثانية حول هذا الاستغلال التي تشاركها Adobe هي أن امتيازات المسؤول ليست مطلوبة لاستغلال هذه الثغرة الأمنية.
تقييمات ثغرات Adobe
أصدرت Adobe ثلاثة مقاييس لتقييم الثغرات الأمنية:
- نظام تسجيل نقاط الضعف المشترك (CVSS)
- أفضلية
- مستوى الضعف
نظام تسجيل نقاط الضعف المشترك (CVSS)
يعد نظام تسجيل نقاط الضعف المشترك (CVSS) معيارًا مفتوحًا تم تطويره بواسطة منظمة غير ربحية (First.org) الذي يستند إلى مقياس من 1 إلى 10 لتقييم نقاط الضعف.
الدرجة 1 هي أقل درجة مصدر قلق والنتيجة 10 هي أعلى مستوى خطورة للضعف.
درجة CVSS لثغرة Adobe Commerce و Magento هي 9.8.
مستوى أولوية الضعف
يحتوي مقياس الأولوية على ثلاثة مستويات ، 1 و 2 و 3. المستوى 1 هو الأكثر خطورة والمستوى الثالث هو الأقل شدة.
أدرجت Adobe مستوى الأولوية لهذا الاستغلال كـ 1 ، وهو أعلى مستوى.
تصنيف الأولوية من المستوى 1 يعني أنه يتم استغلال الثغرات الأمنية بشكل نشط في مواقع الويب.
هذا هو السيناريو الأسوأ للتجار لأنه يعني أن النسخ غير المصححة من Adobe Commerce و Magento عرضة للقرصنة.
تعريف Adobe لمستوى الأولوية 1 هو:
“يحل هذا التحديث الثغرات الأمنية التي تم استهدافها ، أو التي تنطوي على مخاطر أعلى من حيث الاستهداف ، من خلال عمليات الاستغلال في البرية لإصدار منتج ومنصة معينة.
توصي Adobe المسؤولين بتثبيت التحديث في أسرع وقت ممكن. (على سبيل المثال ، خلال 72 ساعة).
مستوى الضعف
يتم تسمية تصنيفات الثغرات الأمنية في Adobe باسم “معتدل” و “هام” و “حرج” ، حيث تمثل “حرجة” المستوى الأكثر خطورة.
تم تصنيف مستوى الثغرة الأمنية المخصص لاستغلال Adobe Commerce و Magento Open Source على أنه حرج ، وهو مستوى التصنيف الأكثر خطورة.
تعريف Adobe من مستوى التصنيف الحرج هو:
“ثغرة أمنية ، إذا تم استغلالها ، ستسمح بتنفيذ تعليمات برمجية أصلية ضارة ، ربما دون علم المستخدم.”
استغلال تنفيذ التعليمات البرمجية التعسفية
ما يجعل هذه الثغرة الأمنية مثيرة للقلق بشكل خاص هو حقيقة أن Adobe قد اعترفت بأنها ثغرة أمنية عشوائية في تنفيذ التعليمات البرمجية.
يعني تنفيذ التعليمات البرمجية التعسفية عمومًا أن نوع الكود الذي يمكن للمهاجم تنفيذه ليس مقيدًا في نطاقه ، ولكنه مفتوح على نطاق واسع لأي رمز يرغب في تنفيذه تقريبًا من أجل تنفيذ أي شيء تقريبًا.أي مهمة أو أمر يرغب فيه.
تعتبر الثغرة الأمنية في تنفيذ التعليمات البرمجية العشوائية نوعًا خطيرًا جدًا من الهجمات.
الإصدارات التي تتأثر
أعلنت شركة Adobe عن إصدار تصحيح تحديث لتصحيح الإصدارات المتأثرة من برنامجها.
ال تحديث ملاحظات الإصدار أعلن:
“تم اختبار التصحيحات لحل المشكلة لكافة الإصدارات من 2.3.3-p1 إلى 2.3.7-p2 ومن 2.4.0 إلى 2.4.3-p1.”
ذكر إعلان الثغرة الأمنية الرئيسي أن إصدارات Adobe Commerce 2.3.3 والإصدارات الأقل لم تتأثر. https://helpx.adobe.com/security/products/magento/apsb22-12.html
توصي Adobe مستخدمي البرامج المتأثرة بتحديث تثبيتاتهم على الفور.
يقتبس
اقرأ نشرة Adobe Security Bulletin
يتوفر تحديث أمني لبرنامج Adobe Commerce | APSB22-12
اقرأ ملاحظات إصدار تصحيح Adobe Commerce و Magento Open Source
تتوفر تحديثات الأمان لبرنامج Adobe Commerce APSB22-12
معلومات عن تصنيفات خطورة الاستغلال
!function(f,b,e,v,n,t,s) {if(f.fbq)return;n=f.fbq=function(){n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)}; if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version='2.0'; n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0]; s.parentNode.insertBefore(t,s)}(window,document,'script', 'https://connect.facebook.net/en_US/fbevents.js');
if( typeof sopp !== "undefined" && sopp === 'yes' ){ fbq('dataProcessingOptions', ['LDU'], 1, 1000); }else{ fbq('dataProcessingOptions', []); }
fbq('init', '1321385257908563');
fbq('track', 'PageView');
fbq('trackSingle', '1321385257908563', 'ViewContent', { content_name: 'magento-adobe-commerce-vulnerability', content_category: 'news web-development ' });
#أصابت #ثغرة #خطيرة #Magento #Open #Source #Adobe #Commerce
المصدر
تعليقات
إرسال تعليق