Компания Adobe выпустила обновление открытой платформы для организации электронной коммерции Magento (2.3.4, 2.3.3-p1 и 2.2.11), которая занимает около 20% рынка систем для создания интернет-магазинов (Adobe стал владельцем Magento в 2018 году). В обновлении устранено 6 уязвимостей, из которых трём присвоен критический уровень опасности (подробности пока не сообщаются):
- CVE-2020-3716 — возможность выполнения кода атакующего при выполнении десериализации внешних данных;
- CVE-2020-3718 — обход механизмов защиты, приводящих к выполнению произвольного кода на стороне сервера;
- CVE-2020-3719 — возможность подстановки SQL-команд, позволяющая получить доступ к данным в БД (в том числе к базе пользователей).
Источник: https://www.opennet.ru/opennews/art.shtml?num=52274