您所在的位置: 首頁 >
安全研究 >
安全通告 >
Adobe Magento Open Source遠(yuǎn)程
【漏洞通告】Adobe Magento Open Source遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-24086)
0x00 漏洞概述
Adobe Magento是Adobe公司的一套開源的PHP電子商務(wù)系統(tǒng),該系統(tǒng)提供權(quán)限管理、搜索引擎和支付網(wǎng)關(guān)等功能,Magento Open Source是Magento的開源版本。
2022年2月13日,Adobe發(fā)布安全公告,修復(fù)了Adobe Commerce 和 Magento Open Source中由于輸入驗(yàn)證不當(dāng)導(dǎo)致的一個遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-24086),其CVSSv3評分為9.8,成功利用此漏洞將導(dǎo)致任意代碼執(zhí)行。
該漏洞無需任何憑據(jù)即可被利用,但攻擊者必須具有管理權(quán)限。Adobe表示此漏洞已在針對Adobe Commerce用戶的有限攻擊中被利用。
影響范圍
Adobe Commerce、Magento Open Source <= 2.4.3-p1(所有平臺)
Adobe Commerce、Magento Open Source <= 2.3.7-p2(所有平臺)
注:Adobe Commerce <= 2.3.3版本不受影響。
0x02 安全建議
目前此漏洞已經(jīng)修復(fù),建議受影響用戶及時升級更新到以下版本:
Adobe Commerce更新至:MDVA-43395_EE_2.4.3-p1_v1(所有平臺)
Magento Open Source更新至:MDVA-43395_EE_2.4.3-p1_v1(所有平臺)
補(bǔ)丁下載鏈接:
https://support.magento.com/hc/en-us/articles/4426353041293-Security-updates-available-for-Adobe-Commerce-APSB22-12-
0x03 參考鏈接
https://helpx.adobe.com/security/products/magento/apsb22-12.html
https://thehackernews.com/2022/02/critical-magento-0-day-vulnerability.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24086
0x04 版本信息
來源:維他命安全