En tant que fournisseur d’hébergement entièrement géré, Nexcess souhaite vous informer des vulnérabilités critiques associées à des versions spécifiques de Magento 2 et à un plugin WordPress, UpdraftPlus. Continuez à lire pour en savoir plus sur ces vulnérabilités, ce que vous pouvez faire et comment Nexcess protège votre site et vos données.
Vulnérabilités Magento 2
Le dimanche 13 février, Adobe a dévoilé une vulnérabilité RCE critique dans Magento 2 (CVE-2022-24086) et a publié un correctif d’urgence. Les équipes de Nexcess ont rassemblé et mis en place des outils pour identifier et corriger les installations de Magento 2 impactées sur les plates-formes Nexcess Classic, Cloud et Enterprise. Nous avons terminé les efforts de correctifs jusqu’au 15 février et mis à jour les outils d’installation pour M2 afin d’inclure le correctif.
Puis, le jeudi 17 février, Adobe a publié un deuxième correctif d’urgence pour Magento 2 (CVE-2022-24087) afin d’atténuer davantage la vulnérabilité RCE. Nous avons réuni les équipes de Nexcess pour commencer immédiatement à tester et à appliquer le correctif sur les plateformes Nexcess Classic, Cloud et Enterprise. Dans la soirée du jeudi 17 février et dans la matinée du 18, nous avons terminé de corriger les clients concernés par CVE-2022-24087.
Nous encourageons les clients à vérifier leurs installations de Magento 2 pour comprendre si vous êtes sur une version vulnérable connue et pour vérifier que le correctif a été appliqué avec succès. Bien que nous ayons un degré élevé de confiance dans notre portée dans toutes les installations clientes vulnérables, la gravité de cette vulnérabilité justifie une validation supplémentaire de votre part.
Vulnérabilités du plugin UpdraftPlus
Nos équipes agissent également sur un vulnérabilité critique dans UpdraftPlusun plugin de sauvegarde WordPress.
Cette vulnérabilité pourrait permettre à tout utilisateur connecté, tel que les comptes clients, de télécharger des sauvegardes de site créées par le plugin, permettant aux attaquants d’accéder à des données sensibles. Ils pourraient également détourner des sites vulnérables. Cette vulnérabilité a reçu un score CVSS de haute gravité de 8,5 sur 10.
Le développeur du plugin a publié un correctif en 1.22.3 (version gratuite) et 2.22.3 (version payante). En raison de la gravité, l’équipe des plugins WordPress.org a désigné cette mise à jour comme une mise à jour obligatoire pour les utilisateurs du plugin gratuit, donc les utilisateurs gratuits d’UpdraftPlus devraient voir cette mise à jour automatiquement. Les utilisateurs Premium du plugin sont invités à mettre à jour leur plugin immédiatement s’il ne s’est pas mis à jour automatiquement.
Nous avons publié une mise à jour de notre pare-feu d’application Web (WAF) pour protéger les clients jusqu’à ce que leurs sites puissent être mis à jour, et nous avons également communiqué à tous nos clients utilisant UpdraftPlus pour les inciter à vérifier qu’ils disposent de la dernière version et à la mettre à jour si nécessaire.
Nous sommes là pour vous aider
Si vous avez des questions supplémentaires, veuillez nous envoyer un courriel directement à support@nexcess.net, ou nous contacter par téléphone au 866-639-2377.
En tant que fournisseur d’hébergement géré, nous travaillons chaque jour pour que vos sites et magasins restent rapides, hautement sécurisés et disponibles. Nous reconnaissons que lorsque votre entreprise s’appuie sur le Web, vous méritez d’avoir un fournisseur sur lequel vous pouvez compter.
Comme toujours, nous vous remercions de nous avoir fait confiance pour vos sites et magasins stratégiques. Nous apprécions votre entreprise et vous soutiendrons toujours.