欢迎user
漏洞综述
漏洞背景
Magento是Adobe公司旗下的一个开源电子商务解决方案,采用php进行开发,使用了Zend Framework框架。其具有模块化架构体系和丰富的功能,易于与第三方应用系统集成,Magento Open Source是Magento的开源版本。近日,新华三攻防实验室威胁预警团队监测到Adobe官方发布了安全公告,修复了Adobe Commerce(前身为Magento Commerce) 和 Magento Open Source中的一个远程代码执行漏洞(CVE-2022-24086),鉴于该漏洞已被发现在野利用,建议受影响用户尽快安装更新补丁,避免受到影响。
漏洞原理
该漏洞是由于Adobe Commerce和 Magento Open Source中存在输入验证不当,未经身份验证的恶意攻击者可以通过向目标服务器发送特制的恶意请求,从而能够在目标服务器上执行任意代码。目前该漏洞已被发现在野利用。
影响范围
Adobe Commerce、Magento Open Source <= 2.4.3-p1(所有平台)
Adobe Commerce、Magento Open Source <= 2.3.7-p2 (所有平台)
注:Adobe Commerce <= 2.3.3版本不受影响。
漏洞等级:严重
处置方法
官方补丁
目前官方已发布最新版本,请受影响用户尽快更新。官方链接:https://support.magento.com/hc/en-us/articles/4426353041293-Security-updates-available-for-Adobe-Commerce-APSB22-12-
参考链接
https://helpx.adobe.com/security/products/magento/apsb22-12.html