Adobe修复了Magento平台多个任意代码执行严重漏洞
Adobe 周二发布了安全更新,以修复其 Magento 电子商务平台中的多个关键漏洞,黑客可以利用这些漏洞来执行任意代码并控制易受攻击的系统。
这些漏洞影响 Magento Commerce 的 2.3.7、2.4.2-p1、2.4.2 和更早版本,以及 Magento 开源版的 2.3.7、2.4.2-p1 和所有之前版本。在解决的 26 个漏洞中,20 个被评为严重,6 个被评为重要。Adobe 本月修复的漏洞在发布时均未列为公开已知或受到主动攻击。
最令人担忧的错误如下 -
CVE-2021-36021、CVE-2021-36024、CVE-2021-36025、CVE-2021-36034、CVE-2021-36035、CVE-2021-36040、CVE-2021-36025、CVE-2021-36040 ( CVE-2021-36040)得分:9.1) - 由于输入验证不当而导致任意代码执行;
CVE-2021-36022 和 CVE-2021-36023(CVSS 分数:9.1)——由于操作系统命令注入而导致的任意代码执行;
CVE-2021-36028 和 CVE-2021-36033(CVSS 评分:9.1)——由于 XML 注入而导致的任意代码执行;
CVE-2021-36036(CVSS 评分:9.1)- 由于访问控制不当而导致任意代码执行;
CVE-2021-36029(CVSS 评分:9.1)——安全功能绕过;
CVE-2021-36032(CVSS 评分:8.3)- 权限提升;
CVE-2021-36020(CVSS 分数:8.2)- 由于 XML 注入而导致的任意代码执行;
CVE-2021-36043(CVSS 分数:8.0)——由于服务器端请求伪造 (SSRF) 导致的任意代码执行;
CVE-2021-36044(CVSS 评分:7.5)——应用程序拒绝服务;
CVE-2021-36030(CVSS 评分:7.5)——安全功能绕过;
CVE-2021-36031(CVSS 分数:7.2)- 由于路径遍历而任意执行代码;
攻击者可能会滥用上述预身份验证漏洞的成功利用来提升权限并运行恶意代码,从而使威胁行为者能够控制 Magento 站点及其服务器。
强烈建议用户快速下载适当的补丁并安装它们,以降低与缺陷相关的风险。