การใช้ประโยชน์อย่างจริงจังของช่องโหว่ที่สำคัญในผลิตภัณฑ์ Adobe Commerce

NCSA_THAICERT

Cyber Security Agency of Singapore (CSA)ได้เผยแพร่เกี่ยวกับ Adobe ได้อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ร้ายแรง หมายเลข CVE-2024-34102 ในผลิตภัณฑ์ Adobe Commerce มีคะแนน Common Vulnerability Scoring System (CVSSv3.1) อยู่ที่ 9.8 และมีรายงานว่าช่องโหว่นี้กำลังถูกโจมตีอย่างต่อเนื่อง

การใช้ประโยชน์ช่องโหว่การอ้างอิงเอนทิตีภายนอกของ XML ที่ไม่เหมาะสมอย่างประสบความสำเร็จอาจทำให้ผู้โจมตีสามารถดำเนินการโค้ดตามอำเภอใจได้โดยการส่งเอกสาร XML ที่สร้างขึ้นซึ่งมีการอ้างอิงเอนทิตีภายนอก

ช่องโหว่ร้ายแรงมีผลกับผลิตภัณฑ์เวอร์ชันต่อไปนี้
• Adobe Commerce version 2.4.7 and earlier
• Adobe Commerce version 2.4.6-p5 and earlier
• Adobe Commerce version 2.4.5-p7 and earlier
• Adobe Commerce version 2.4.4-p8 and earlier
• Adobe Commerce version 2.4.3-ext-7 and earlier
• Adobe Commerce version 2.4.2-ext-7 and earlier
• Magento Open Source version 2.4.7 and earlier
• Magento Open Source version 2.4.6-p5 and earlier
• Magento Open Source version 2.4.5-p7 and earlier
• Magento Open Source version 2.4.4-p8 and earlier
• Adobe Commerce Webhooks Plugin version 1.2.0 to 1.4.0

แนะนำให้ผู้ใช้งานและผู้ดูแลระบบของผลิตภัณฑ์ที่ได้รับผลกระทบอัปเดตเป็นเวอร์ชันล่าสุดทันที ผู้ดูแลระบบควรแก้ไขเป็นเวอร์ชันล่าสุดจะไม่สามารถแก้ไขช่องโหว่ใดๆ ที่เกิดขึ้นก่อนหน้านี้ได้ องค์กรที่ใช้เวอร์ชันเก่าควรตรวจสอบบันทึกหรือข้อมูลที่เกี่ยวข้องเพื่อดูว่ามีการเข้าถึงโดยไม่ได้รับอนุญาตและการแทรกโค้ดที่เป็นอันตรายหรือไม่

อ้างอิง
https://www.csa.gov.sg/alerts-advisories/alerts/2024/al-2024-135

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand