Emplacement de l’URL d’administration Adobe Commerce divulgué
Cet article fournit un correctif pour le problème de sécurité Adobe Commerce en raison duquel l’emplacement URL du panneau d’administration peut être divulgué. Connaître l’emplacement de l’URL peut faciliter l’automatisation des attaques.
Produits et versions concernés
- Adobe Commerce sur l’infrastructure cloud 2.X.X
- Adobe Commerce On-Premise 2.X.X
- Magento Open Source 2.X.X
Problème
Un problème a été découvert dans Magento Open Source et Adobe Commerce qui peut être utilisé pour révéler l’emplacement de l’URL du panneau d’administration. Bien qu’il n’y ait actuellement aucune raison de croire que ce problème conduirait directement à un compromis, sachant que l’emplacement de l’URL pourrait faciliter l’automatisation des attaques.
Solution
Pour résoudre le problème, appliquez le correctif joint à cet article. Pour le télécharger, cliquez sur le lien suivant :
- Téléchargez PRODSECBUG-2432_EE_2.1.17_compositeur.patch - pour les versions 2.1.13-2.1.17, Adobe Commerce, Magento Open Source
- Téléchargez PRODSECBUG-2432_EE_2.2.8_compositeur.patch - pour les versions 2.2.0-2.2.8, toutes les éditions
- Téléchargez PRODSECBUG-2432_EE_2.3.1_compositeur.patch - pour les versions 2.3.0-2.3.1, toutes les éditions
Si vous ne voyez pas de correctif pour votre produit/version, mettez à niveau vers la dernière version de sécurité, puis appliquez le correctif.
Adobe recommande vivement d'appliquer le correctif dès que possible, même si vous n'avez rencontré aucun symptôme d'une attaque.
Comment appliquer le correctif
Voir Comment appliquer un correctif de compositeur fourni par Adobe Commerce pour obtenir des instructions.
Autres recommandations de sécurité
Adobe recommande également vivement aux commerçants de déployer des outils pour sécuriser leur panneau d’administration, notamment l’authentification à deux facteurs, le VPN, l’Place sur la liste autorisée IP, etc. Pour plus d’informations, consultez les blogs et la documentation suivants :
- 5 Actions immédiates vers Protect contre les attaques brutales de la force
- Protect Your Magento Installation Password Guider New Update
- Bonnes pratiques de sécurité
- Ajout et configuration de l’authentification à deux facteurs dans Adobe Commerce pour 2.4.x