SUPEE 10415

14/12/2017

O SUPEE 10415 contêm múltiplos aprimoramentos de segurança que ajudam a fechar vulnerabilidades de execução remota de código de usuário remoto (RCE) de falsificação de solicitação de cross-site (CSRF), Negação de Serviço (DoS) . Esses lançamentos também incluem uma correção para clientes anteriores que tiveram problemas de patches causados pelas interações SOAP v1 no WSDL.

 

Versões Afetadas

Esse bug afeta as versões Magento Community Edition (CE): 1.5.0.0 – 1.9.3.6.

 

Falhas Encontradas:

  1. APPSEC-1330: entrada não permitida que conduz à negação de serviço: Um visitante do site pode criar uma conta onde um dos parâmetros criará uma negação de serviço do servidor;
  2. APPSEC-1885: XSS armazenado no campo nome do produto: Um administrador com privilégios limitados pode inserir o script no campo do nome do produto, resultando potencialmente em um script de site cruzado armazenado que afeta outros administradores;
  3. APPSEC-1892: XSS armazenado no visual merchandiser: Um administrador com privilégios limitados pode criar um ataque de script do site armazenado no sistema Visual Merchaniser;
  4. APPSEC-1894: Execução remota de código alavancando a desestruturação insegura: Um administrador com privilégios limitados pode inserir código injetável em campos promocionais, criando uma oportunidade para a execução de código remoto arbitrário;
  5. APPSEC-1897: corrigir correções baseadas em WSDL para trabalhar com SOAP V1: Aborda um problema que afeta um pequeno número de clientes para permitir dois patches anteriores para lidar com as interações SOAP v1 no WSDL;
  6. APPSEC-1913: Execução Remota de Código através da Manipulação de Configuração: Um administrador com privilégios limitados pode injetar um bypass de configuração malformado, levando a um redirecionamento de arquivo que pode ser alavancado na execução arbitrária de código remoto.
  7. APPSEC-1914: XSS armazenado na área da página do CMS: Um administrador com privilégios limitados pode criar uma página no Sistema de Gerenciamento de Conteúdo (CMS) com um ataque embutido de scripts entre sites.

 

Instalando

Para instalação do SUPEE 10415, acessei o link https://magento.com/tech-resources/download e faça o download para a versão do Magento que utiliza.

Caso tenha dúvida no processo de instalação, veja o artigo Instalando patch no Magento.

 

Neste post, não informamos todas as falhas que foram encontradas e corrigidas pelo SUPEE 10415. Para maiores informações, por favor, clique aqui.

 

Um abraço.

 

Nenhum Comentário

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *