Adobe发布安全更新,修复其Magento电商平台的高危漏洞

Magento更新已发布修复影响电子商务网站的临界缺陷

Adobe 周二发布了安全更新,以修复其 Magento 电子商务平台中的多个关键漏洞,攻击者可能会滥用这些漏洞来执行任意代码并控制易受攻击的系统。

这些问题影响 Magento Commerce 的 2.3.7、2.4.2-p1、2.4.2 和更早版本,以及 Magento 开源版的 2.3.7、2.4.2-p1 和所有之前版本。在解决的 26 个缺陷中,20 个被评为严重,6 个被评为重要。Adobe 本月修复的漏洞在发布时均未列为公开已知或受到主动攻击。

最令人担忧的漏洞如下:

  • CVE-2021-36021、CVE-2021-36024、CVE-2021-36025、CVE-2021-36034、CVE-2021-36035、CVE-2021-36040、CVE-2021-36025、CVE-2021-36040 ( CVE-2021-36040)得分:9.1) ——由于输入验证不当而导致任意代码执行
  • CVE-2021-36022 和 CVE-2021-36023(CVSS 评分:9.1)——由于操作系统命令注入而导致的任意代码执行
  • CVE-2021-36028 和 CVE-2021-36033(CVSS 评分:9.1)——由于 XML 注入而导致的任意代码执行
  • CVE-2021-36036(CVSS 评分:9.1)——由于访问控制不当而导致任意代码执行
  • CVE-2021-36029(CVSS 评分:9.1)——安全功能绕过
  • CVE-2021-36032(CVSS 评分:8.3)——权限提升
  • CVE-2021-36020(CVSS 评分:8.2)——由于 XML 注入而导致的任意代码执行
  • CVE-2021-36043(CVSS 评分:8.0)——由于服务器端请求伪造 (SSRF) 导致的任意代码执行
  • CVE-2021-36044(CVSS 评分:7.5)——应用程序拒绝服务
  • CVE-2021-36030(CVSS 评分:7.5)——安全功能绕过
  • CVE-2021-36031(CVSS 评分:7.2)——由于路径遍历而任意执行代码

攻击者可能会滥用上述预身份验证漏洞的成功利用来提升权限并运行恶意代码,从而使威胁行为者能够控制 Magento 站点及其服务器。

强烈建议用户快速下载适当的补丁并安装它们,以降低与缺陷相关的风险。

 

Adobe发布安全更新,修复其Magento电商平台的高危漏洞

极牛网精选文章《Adobe发布安全更新,修复其Magento电商平台的高危漏洞》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/15820.html

(30)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
主编的头像主编认证作者
上一篇 2021年8月10日 下午7:37
下一篇 2021年8月11日 下午4:32

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部