返回白云学院
网站导航
安全公告
当前位置:首页 » 通知公告 » 安全公告
【高危安全通告】Adobe Magento Open Source远程代码执行漏洞
阅读人数:     发布时间:2022/02/16

近日, Adobe Magento Open Source被露出远程代码执行漏洞,漏洞编号CVE-2022-24086。可导致恶意用户远程代码执行等危害。为避免您的业务受影响,建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

 

漏洞描述

Adobe Magento是美国奥多比(Adobe)公司的一套开源的PHP电子商务系统,该系统提供权限管理、搜索引擎和支付网关等功能,Magento Open SourceMagento的开源版本。

 

2022213日,Adobe发布安全公告,Magento存在输入验证错误漏洞,该漏洞源于输入验证不当。攻击者可利用该漏洞向应用程序发送专门设计的请求,并在目标系统上执行任意代码,且该漏洞无需任何凭据即可被利用,但攻击者必须具有管理权限。Adobe表示此漏洞已在针对Adobe Commerce用户的有限攻击中被利用。

 

安全通告信息

漏洞名称

Adobe Magento Open Source远程代码执行漏洞

漏洞影响版本

Adobe Commerce<=2.4.3-p1

Adobe Commerce<=2.3.7-p2

Magento Open Source<=2.4.3-p1

Magento Open Source<=2.3.7-p2

注:Adobe Commerce<=2.3.3版本不受影响。

漏洞危害等级

高危

厂商是否已发布漏洞补丁

版本更新地址

https://www.cybersecurity-help.cz/vdb/SB2022021301

https://helpx.adobe.com/security/products/magento/apsb22-12.html

https://thehackernews.com/2022/02/critical-magento-0-day-vulnerability.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24086

 

处置措施

安全建议

目前此漏洞已经修复,建议受影响用户及时升级更新到以下版本:

Adobe Commerce更新至:MDVA-43395_EE_2.4.3-p1_v1(所有平台)

Magento Open Source更新至:MDVA-43395_EE_2.4.3-p1_v1(所有平台)

 

补丁下载链接:

https://support.magento.com/hc/en-us/articles/4426353041293-Security-updates-available-for-Adobe-Commerce-APSB22-12

 

修复建议

https://www.cybersecurity-help.cz/vdb/SB2022021301

https://helpx.adobe.com/security/products/magento/apsb22-12.html

https://thehackernews.com/2022/02/critical-magento-0-day-vulnerability.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24086

 


Baidu
map