S . G . D . S . N Agence nationale de la sécurité des systèmes d’information |
Paris, le 15 septembre 2017 No CERTFR-2017-AVI-303 |
Affaire suivie par :
CERT-FR
AVIS DU CERT-FR
Objet : Multiples vulnérabilités dans
Magento
|
Une gestion de version détaillée se trouve à la fin de ce
document.
- exécution de code arbitraire à distance
- déni de service
- contournement de la politique de sécurité
- atteinte à l’intégrité des données
- atteinte à la confidentialité des données
- élévation de privilèges
- injection de code indirecte à distance
- injection de requêtes illégitimes par rebond
- Magento Open Source versions antérieures à 1.9.3.6
- Magento Commerce versions antérieures à 1.14.3.6
- Magento versions 2.0 antérieures à 2.0.16
- Magento versions 2.1 antérieures à 2.1.9
De multiples vulnérabilités ont été corrigées dans
Magento. Certaines d’entre elles
permettent à un attaquant de provoquer une exécution de code
arbitraire à distance, un déni de service et un contournement de
la politique de sécurité.
Se référer au bulletin de sécurité de l’éditeur
pour l’obtention des correctifs (cf. section Documentation).
- 15 septembre 2017
- version initiale.
2017-09-15
source : Les derniers documents du CERTA. http://cert.ssi.gouv.fr September 15, 2017 at 03:19PM