Adobe a publié mardi des mises à jour de sécurité visant à remédier 26 vulnérabilités critiques dans sa plateforme de commerce électronique Magento. Celles-ci pourraient être exploitées par un pirate pour exécuter un code arbitraire et prendre le contrôle d'un système vulnérable.

Ces failles touchent les versions 2.3.7, 2.4.2-p1, 2.4.2, et les versions antérieures de Magento Commerce, ainsi que les versions 2.3.7, 2.4.2-p1, et toutes les versions antérieures de Magento Open Source Edition. Sur les 26 failles corrigées, 20 sont classées critiques et six sont classées importantes en termes de gravité. Aucune des vulnérabilités corrigées ce mois-ci par Adobe n'est répertoriée comme publiquement connue ou faisant l'objet d'une attaque active au moment de la publication.

Les plus menaçantes de ces failles sont les suivants :

• CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36040, CVE-2021-36041, et CVE-2021-36042 (score CVSS : 9.1) - Exécution de code arbitraire due à une mauvaise validation des entrées.
• CVE-2021-36022 et CVE-2021-36023 (score CVSS : 9.1) - Exécution de code arbitraire due à l'injection de commandes du système d'exploitation.
• CVE-2021-36028 et CVE-2021-36033 (score CVSS : 9.1) - Exécution de code arbitraire due à une injection XML

Bien qu'il n'y ait pas de vulnérabilités de type "zero-day" connues et activement exploitées, Adobe conseille et recommande à ses clients d'effectuer une mise à jour vers les dernières versions dès que possible.