菜单
漏洞描述:
Adobe Magento Open Source是Adobe公司的一套开源的PHP电子商务系统,Magento Open Source 提供所有基本的商务功能,可用于从头开始建立独特的线上商店。
Adobe Magento Open Source存在一个命令注入漏洞,具有管理员权限的攻击者可以通过注入恶意代码在没有用户交互的情况下执行任意命令。漏洞编号:CVE-2024-20720,漏洞威胁等级:高危。
根据公开的情报显示,攻击者用可以数据库中精心设计的布局模板注入 XML 代码,即使在手动修复后也可以重新感染 Magento 服务器,在服务上留下一个持久性后门。
影响版本:
Magento Open Source<=2.4.4-p6
Magento Open Source<=2.4.5-p5
Magento Open Source<=2.4.6-p3
修复建议
官方已发布新版本中修复上述漏洞,受影响用户请尽快升级到安全版本。
漏洞修复版本:
安全版本:
Magento Open Source >= 2.4.6-p4
Magento Open Source >= 2.4.5-p6
Magento Open Source >= 2.4.4-p7
参考链接:
https://sansec.io/research/magento-xml-backdoor https://helpx.adobe.com/security/products/magento/apsb24-03.html
粤公网安备 44010402002568号