始于设计 - 专于体验 - 合于沟通 - 久于转化 - 终于口碑 !      16年高端网站建设、跨境电商独立站定制开发、300+专业技术,设计团队、国家高新技术企业
Adobe公布的Magento严重漏洞

发布者:万邦     目录:全球热点新闻     阅读数:60672

Magento外贸独立站建设专业公司万邦网络最新消息:Adobe发布了一个Magento补丁,其中包含33项安全增强功能,包括修复了16个被评为关键和重要的漏洞

Adobe宣布已发布Magento2补丁,以修复多个关键漏洞。某些漏洞可能允许攻击者接管管理员会话并授予对客户信息的访问权限。

影响流行的Magento电子商务平台的漏洞影响开源和商业版本。

独立站设计专家万邦根据Magento开源发行说明:Adobe 宣布发布 Magento 2.4.3,其中包含总共 33 项安全增强功能。

“33项安全增强功能有助于关闭远程代码执行 (RCE) 和跨站点脚本 (XSS) 漏洞

迄今为止,尚未发生与这些问题相关的确认攻击。

但是,某些漏洞可能会被利用来访问客户信息或接管管理员会话。”

受影响的商业 Magento 版本:
2.4.2 及更早版本
2.4.2-p1 及更早版本
2.3.7 及更早版本
受影响的开源 Magento 版本:
2.4.2-p1 及更早版本
2.3.7 及更早版本

特别值得注意的是,在 Adob​​e 公布的16个安全漏洞中,其中10个不需要任何管理员或用户凭据即可利用 Magento。

其余6个漏洞要求攻击者已经拥有管理员级别的权限。

其中11个漏洞被评为关键漏洞,其余漏洞被评为重要漏洞。

有四种漏洞:

任意代码执行(7个漏洞)
安全功能绕过 (2)
应用程序拒绝服务 (1)
权限提升 (1)

Magento 任意代码执行
影响 Magento 的任意代码执行漏洞包括六种攻击。

访问控制不当
不正确的输入验证
路径遍历
操作系统命令注入
服务器端请求伪造 (SSRF)
XML 注入(又名 XPath 盲注入)
Magento 安全功能绕过漏洞利用示例
Magento 2.4.3 版中修补了两种影响 Magento 的安全功能绕过问题。

不正确的输入验证
这类问题与未能正确验证输入是否对软件处理有危险有关。这允许攻击者制作意外输入,从而导致任意代码执行。

不当授权
不当授权漏洞是指软件无法正确检查用户是否具有权限级别,进行输入的人员是否具有正确的凭据。

上述漏洞利用的一个共同特点是它们允许攻击者访问软件中的敏感位置,从而允许攻击者执行任意命令。

根据 Adob​​e 的总结:

“Magento 已经发布了 Adob​​e Commerce 和 Magento 开源版本的更新。这些更新解决了被评为关键和重要的漏洞。成功的利用可能会导致任意代码执行。”

Magento 更新版本 2.4.3

可以肯定地说,建议考虑更新到最新版本的 Magento。Adobe 的发行说明指出存在一些向后兼容性问题。

一些更改是独立发布的,可以通过这种方式进行更新。

外贸网站建设独立站安全专家万邦网xingbell.com呈上,欢迎独立站外贸商家咨询,微信:13728605508 (加备:独立站)

上一篇: 西方民主的倒塌,阿富汗平民抓住美国军机的轮子,绝望!

下一篇: SHEIN一个3000亿的华人海外品牌,一定对您有所启发