AVIS DU CERTFR - 2017 - AVI - 397
Publié le 8 novembre 2017 à 12h10 - Mis à jour le 8 novembre 2017 à 18h31
Objet : Multiples vulnérabilités dans Magento
Référence : CERTFR-2017-AVI-397
Risque(s)
- Exécution de code arbitraire à distance
- Atteinte à l'intégrité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- Magento versions 2.2.x antérieures à 2.2.1
- Magento versions 2.1.x antérieures à 2.1.10
- Magento versions 2.0.x antérieures à 2.0.17
Résumé
De multiples vulnérabilités ont été découvertes dans Magento. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à l'intégrité des données et une élévation de privilèges.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Magento du 7 novembre 2017
https://magento.com/security/patches/magento-221-2110-and-2017-security-update
Dernière version de ce document: https://www.cert.ssi.gouv.fr/avis/CERTFR-2017-AVI-397/