Magento ۲٫۳٫۴ هفتهی گذشته وصلههایی برای شش آسیبپذیری ازجمله سه آسیبپذیری بحرانی منتشر کرد. اولین مورد از این مسائل امنیتی شدید مربوط به deserialization دادههای غیرقابل اعتماد است. این اشکال که با شناسهی CVE-2020-3716 ردیابی میشود، ممکن است منجر به اجرای کد دلخواه شود. یکی دیگر از آسیبپذیریهای بحرانی که میتواند امکان اجرای کد دلخواه را فراهم کند، CVE-2020-3718 است که ادوبی آن را بهعنوان یک مسألهی دور زدن امنیت توصیف میکند. آسیبپذیری بحرانی سوم که در این نسخه رفع شد، تزریق SQL است که میتواند منجر به افشای اطلاعات حساس شود و با شناسهی CVE-2020-3719 ردیابی میشود.
هر سه آسیبپذیری باقیمانده که در Magento 2.3.4 وصله شدند، مهم ارزیابی میشوند و هر سه میتوانند منجر به افشای اطلاعات حساس شوند. دو آسیبپذیری اول که با شناسههای CVE-2020-3715 و CVE-2020-3758 ردیابی میشوند، آسیبپذیریهای XSS هستند درحالیکه مورد سوم یک آسیبپذیری پیمایش مسیر با شناسهی CVE-2020-3717 است. این آسیبپذیریها هم Magento Commerce و هم Magento Open Source نسخههای ۲٫۳٫۳ و نسخههای قبلتر، نسخهی ۲٫۲٫۱۰ و نسخههای قبلتر و Magento Enterprise Edition 1.14.4.3 و نسخههای قبلتر و Magento Community Edition 1.9.4.3 و نسخههای قبلتر را تحت تأثیر قرار میدهند.
ادوبی با انتشار نسخهی سه ماههی قبل وصلههای امنیتی صرف را معرفی کرد که به شرکتها اجازه میدهد تا وصلههای آسیبپذیری حساس به زمان نصب را بدون اعمال همهی وصلههای عملکردی که بهطور معمول در یک نسخهی سه ماههی کامل گنجانده میشوند، نصب کنند. بنابراین، وصلههای مربوط به آسیبپذیریهایی که در Magento 2.3.3 شناسایی شدهاند، در Patch 2.3.3.1 که یک وصلهی امنیتی صرف و شامل همهی hotfixهای اعمالشده در نسخهی ۲٫۳٫۳ است، گنجانده شده است. این شرکت تأکید میکند که وصلههای امنیتی صرف تنها شامل وصلههایی برای اشکال امنیتی هستند، نه پیشرفت راهکارهای امنیتی اضافی که در وصلهی کامل گنجانده شدهاند.
با آغاز انتشار نسخهی سه ماههی جدید، مسائل امنیتی در یک بولتن امنیتی ادوبی ثبت خواهند شد، اما دیگر در مرکز امنیتی Magento توصیف نمیشود. بهمنظور کاهش سطح حمله و جلوگیری از حملات اجرای کد از راه دور، نسخهی جدید Magento فیلد Custom Layout Update در صفحات CMS Page Edit، Category Edit و Product Edit را به یک انتخابکننده تبدیل میکند.
Magento ۲٫۳٫۴ بیان میکند که دیگر نمیتوان یک بهروزرسانی چینش مخصوص موجودیت را با متن مشخص کرد اما در عوض باید یک فایل فیزیکی ایجاد کرد که شامل بهروزرسانیهای چینش است و آن را برای استفاده انتخاب میکند.
علاوهبرآن، ویژگیهای قالب محتوا طوری طراحی شدهاند که تنها متغیرهای لیست سفید امکان اضافه شدن به قالبها را داشته باشند. هدف جلوگیری از ورود به قالبهای تعریفشده توسط مدیر ازجمله ایمیل، روزنامه و محتوای CMS متغیرها است.
تاکنون هیچ حملهی تأییدشدهای مربوط به این مسائل رخ نداده است. بااینحال، برخی از آسیبپذیریها میتوانند بهطور بالقوه برای دسترسی به اطلاعات مشتری یا برداشتن نشستهای مدیر مورد بهرهبرداری قرار گیرند. بهرهبرداری از بسیاری از این مسائل نیازمند دستیابی یک مهاجم به دسترسی مدیر است.