CERTFR-2017-AVI-303 : Multiples vulnérabilités dans Magento (15 septembre 2017)

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d’information

 République Française Paris, le 15 septembre 2017
No CERTFR-2017-AVI-303

Affaire suivie par :

CERT-FR

AVIS DU CERT-FR

Objet : Multiples vulnérabilités dans
Magento

Tableau 1: Gestion du document
Référence CERTFR-2017-AVI-303
Titre Multiples vulnérabilités dans
Magento
Date de la première version 15 septembre 2017
Date de la dernière version
Source(s) Bulletin de sécurité Magento
magento-2016-and-219-security-update du 14
septembre 2017
  Bulletin de sécurité Magento
supee-10266 du 14 septembre 2017
Pièce(s) jointe(s) Aucune

Une gestion de version détaillée se trouve à la fin de ce
document.

  • exécution de code arbitraire à distance
  • déni de service
  • contournement de la politique de sécurité
  • atteinte à l’intégrité des données
  • atteinte à la confidentialité des données
  • élévation de privilèges
  • injection de code indirecte à distance
  • injection de requêtes illégitimes par rebond
  • Magento Open Source versions antérieures à 1.9.3.6
  • Magento Commerce versions antérieures à 1.14.3.6
  • Magento versions 2.0 antérieures à 2.0.16
  • Magento versions 2.1 antérieures à 2.1.9

De multiples vulnérabilités ont été corrigées dans
Magento. Certaines d’entre elles
permettent à un attaquant de provoquer une exécution de code
arbitraire à distance, un déni de service et un contournement de
la politique de sécurité.

Se référer au bulletin de sécurité de l’éditeur
pour l’obtention des correctifs (cf. section Documentation).

15 septembre 2017
version initiale.

CERT-FR
2017-09-15

source : Les derniers documents du CERTA. http://cert.ssi.gouv.fr September 15, 2017 at 03:19PM