آسیب پذیری حیاتی اجرای کد دلخواه با رتبه 9.8 در مقیاس 1 تا 10 به طور فعال توسط هکرها مورد سوء استفاده قرار می گیرد.
ادوبی یک آسیبپذیری حیاتی را اعلام کرد که بر ادوبی تجارت و منبع باز مجنتو تأثیر میگذارد. بازرگانان Adobe Commerce مورد حمله قرار گرفتهاند و بهرهبرداری از این آسیبپذیری در حال حاضر در طبیعت است.
یکی از جزئیات مهم آسیبپذیری که Adobe به اشتراک گذاشته است این است که برای اجرای موفقیتآمیز یک بهرهبرداری موفق، احراز هویت لازم نیست.
این بدان معناست که یک مهاجم برای سوء استفاده از آسیبپذیری نیازی به کسب امتیاز ورود کاربر ندارد.
دومین جزئیات در مورد این اکسپلویت که Adobe به اشتراک گذاشته است این است که برای بهره برداری از این آسیب پذیری، مجوزهای مدیر لازم نیست.
Adobe سه معیار رتبه بندی برای آسیب پذیری ها منتشر کرد:
سیستم امتیازدهی آسیب پذیری مشترک (CVSS) یک استاندارد باز است که توسط یک سازمان غیرانتفاعی ( First.org ) توسعه یافته است که بر اساس مقیاس 1 تا 10 برای امتیاز دهی به آسیب پذیری ها است.
نمره یک کمترین نگرانی و نمره ده بالاترین سطح شدت یک آسیب پذیری است.
امتیاز CVSS برای آسیبپذیری Adobe Commerce و Magento 9.8 است.
معیار اولویت دارای سه سطح 1، 2 و 3 است. سطح 1 جدی ترین و سطح سه کم جدی ترین است.
Adobe سطح اولویت این اکسپلویت را 1 درج کرده است که بالاترین سطح است.
سطح اولویت سطح 1 به این معنی است که آسیب پذیری ها به طور فعال در وب سایت ها مورد سوء استفاده قرار می گیرند.
این بدترین سناریو برای بازرگانان است زیرا به این معنی است که نمونه های اصلاح نشده Adobe Commerce و Magento در برابر هک شدن آسیب پذیر هستند.
تعریف Adobe از اولویت سطح 1 این است:
«این بهروزرسانی آسیبپذیریهایی را که هدف قرار میگیرند، یا خطر بیشتری برای هدف قرار گرفتن دارند، توسط اکسپلویت (ها) در طبیعت برای نسخه و پلتفرم محصول معین برطرف میکند.
Adobe به مدیران توصیه می کند که این به روز رسانی را در اسرع وقت نصب کنند. (به عنوان مثال، در عرض 72 ساعت).
سطوح آسیبپذیری Adobe متوسط، مهم و بحرانی نامیده میشوند که بحرانی خطرناکترین سطح را نشان میدهد.
سطح آسیب پذیری اختصاص داده شده به اکسپلویت منبع باز Adobe Commerce و Magento به عنوان بحرانی رتبه بندی می شود که خطرناک ترین سطح رتبه بندی است.
تعریف Adobe از سطح رتبه بندی بحرانی این است:
یک آسیبپذیری که در صورت سوء استفاده، به کد بومی مخرب اجازه میدهد تا بدون اطلاع کاربر اجرا شود.»
چیزی که این آسیبپذیری را بهویژه نگرانکننده میکند، این واقعیت است که Adobe اعتراف کرده است که یک آسیبپذیری اجرای کد دلخواه است.
اجرای کد دلخواه عموماً به این معنی است که نوع کدی که میتواند توسط مهاجم اجرا شود محدود به دامنه نیست، اما اساساً برای هر کدی که بخواهند به منظور اجرای تقریباً هر وظیفه یا دستوری که میخواهند باز است.
آسیب پذیری اجرای کد دلخواه یک نوع حمله بسیار جدی است.
Adobe اعلام کرد که یک وصله به روز رسانی برای تعمیر نسخه های آسیب دیده نرم افزار خود منتشر شده است.
در یادداشت های انتشار به روز رسانی آمده بود:
"وصله ها برای حل مشکل برای همه نسخه های 2.3.3-p1 تا 2.3.7-p2 و از 2.4.0 تا 2.4.3-p1 آزمایش شدند."
اعلامیه آسیبپذیری اصلی بیان کرد که نسخههای Adobe Commerce 2.3.3 و پایینتر تحت تأثیر قرار نمیگیرند.https://helpx.adobe.com/security/products/magento/apsb22-12.html
Adobe توصیه می کند که کاربران نرم افزار آسیب دیده نصب خود را فوراً به روز کنند.
به روز رسانی امنیتی برای Adobe Commerce در دسترس است | APSB22-12
به روز رسانی های امنیتی برای Adobe Commerce APSB22-12 در دسترس است
رتبه بندی شدت Adobe
خبرنامه روزانه ما را از لورن بیکر بنیانگذار SEJ در مورد آخرین اخبار در صنعت دریافت کنید!
راجر مونتی یک بازاریاب جستجو با بیش از 20 سال تجربه است. ارائه ممیزی سایت، مشاوره تلفنی و محتوا و … [بیو کامل را بخوانید]
برای دریافت آخرین اخبار صنعت در خبرنامه روزانه ما مشترک شوید.
برای دریافت آخرین اخبار صنعت در خبرنامه روزانه ما مشترک شوید.
Check Also
7 روش برای اصلاح محتوای خود برای سئوی بهتر
آیا فرصت های ساده ای را برای بهبود بهینه سازی محتوای خود از دست می …