ستساعدك المقالة التالية: ثغرة أمنية حرجة تضرب Magento Open Source وAdobe Commerce
أعلنت شركة Adobe عن ثغرة أمنية خطيرة تؤثر على Adobe Commerce وMagento Open Source. تعرض تجار Adobe Commerce للهجوم، وأصبح استغلال الثغرة الأمنية منتشرًا في الوقت الحالي.
أحد التفاصيل المهمة للثغرة الأمنية التي شاركتها Adobe هو أنه لا يلزم إجراء مصادقة من أجل تنفيذ عملية استغلال ناجحة بنجاح.
وهذا يعني أن المهاجم لا يحتاج إلى الحصول على امتياز تسجيل دخول المستخدم من أجل استغلال الثغرة الأمنية.
التفاصيل الثانية حول هذا الاستغلال الذي شاركته Adobe هي أن امتيازات المسؤول ليست ضرورية لاستغلال هذه الثغرة الأمنية.
تقييمات نقاط الضعف في Adobe
نشرت Adobe ثلاثة مقاييس تصنيف للثغرات الأمنية:
- نظام تسجيل نقاط الضعف المشتركة (CVSS)
- أولوية
- مستوى الضعف
نظام تسجيل نقاط الضعف المشتركة (CVSS)
نظام تسجيل نقاط الضعف المشتركة (CVSS) هو معيار مفتوح تم تطويره بواسطة مؤسسة غير ربحية (First.org) يعتمد على مقياس من 1 إلى 10 لتسجيل نقاط الضعف.
الدرجة الواحدة هي الأقل إثارة للقلق، والدرجة العشرة هي أعلى مستوى من خطورة الثغرة الأمنية.
درجة CVSS لثغرة Adobe Commerce وMagento هي 9.8.
مستوى أولوية الضعف
يشتمل مقياس الأولوية على ثلاثة مستويات، 1 و2 و3. المستوى 1 هو الأكثر خطورة والمستوى الثالث هو الأقل خطورة.
لقد أدرجت شركة Adobe مستوى الأولوية لهذا الاستغلال على أنه 1، وهو أعلى مستوى.
مستوى الأولوية من المستوى الأول يعني أنه يتم استغلال الثغرات الأمنية بشكل نشط في مواقع الويب.
هذا هو السيناريو الأسوأ بالنسبة للتجار لأنه يعني أن المثيلات غير المصححة لـ Adobe Commerce وMagento معرضة للاختراق.
تعريف Adobe لمستوى الأولوية 1 هو:
“يعمل هذا التحديث على حل الثغرات الأمنية التي يتم استهدافها، أو التي تنطوي على خطر أكبر للاستهداف، من خلال استغلال (برامج) الاستغلال في البرية لإصدار منتج معين ومنصة معينة.
توصي Adobe المسؤولين بتثبيت التحديث في أسرع وقت ممكن. (على سبيل المثال، خلال 72 ساعة).”
مستوى الضعف
يتم تسمية مستويات الضعف في Adobe بالمتوسطة والمهمة والحرجة، حيث يمثل المستوى الحرج المستوى الأكثر خطورة.
تم تصنيف مستوى الضعف المخصص لاستغلال Adobe Commerce وMagento Open source على أنه بالغ الأهمية، وهو مستوى التصنيف الأكثر خطورة.
تعريف أدوبي مستوى التصنيف الحرج هو:
“ثغرة أمنية، إذا تم استغلالها، ستسمح بتنفيذ تعليمات برمجية أصلية ضارة، وربما دون علم المستخدم.”
استغلال تنفيذ التعليمات البرمجية التعسفية
ما يجعل هذه الثغرة الأمنية مثيرة للقلق بشكل خاص هو حقيقة أن Adobe اعترفت بأنها ثغرة أمنية في تنفيذ التعليمات البرمجية التعسفية.
يعني تنفيذ التعليمات البرمجية التعسفية بشكل عام أن نوع التعليمات البرمجية التي يمكن تشغيلها بواسطة مهاجم ليس محدودًا في النطاق ولكنه مفتوح على نطاق واسع لأي تعليمات برمجية يريدها من أجل تنفيذ أي مهمة أو أمر يرغب فيه تقريبًا.
تعد الثغرة الأمنية في تنفيذ التعليمات البرمجية التعسفية نوعًا خطيرًا للغاية من الهجمات.
ما هي الإصدارات المتأثرة؟
أعلنت شركة Adobe أنه تم نشر تصحيح التحديث لإصلاح الإصدارات المتأثرة من برامجها.
ال تحديث ملاحظات الإصدار معلن:
“تم اختبار التصحيحات لحل المشكلة لجميع الإصدارات من 2.3.3-p1 إلى 2.3.7-p2 ومن 2.4.0 إلى 2.4.3-p1.”
ذكر إعلان الثغرة الأمنية الرئيسية أن إصدارات Adobe Commerce 2.3.3 والإصدارات الأقدم لم تتأثر.https://helpx.adobe.com/security/products/magento/apsb22-12.html
توصي Adobe مستخدمي البرامج المتأثرة بتحديث عمليات التثبيت الخاصة بهم على الفور.
اقتباسات
اقرأ نشرة أمان Adobe
يتوفر تحديث أمني لبرنامج Adobe Commerce | APSB22-12
اقرأ ملاحظات إصدار تصحيح Adobe Commerce وMagento Open Source
تتوفر تحديثات الأمان لبرنامج Adobe Commerce APSB22-12
