【风险公告】Adobe Magento远程代码执行缝隙
2020-10-21 00:00:00
近日�,�,234钱包安全应急响应中心监测到�,�,Adobe官方颁布了 CVE-2020-24407 远程代码执行及CVE-2020-24400: SQL注入缝隙公告。
该缝隙风险等级为高危�,�,请有关用户尽快将Magento Commerce/Open Source升级到最新版本�,�,做好资产自查工作�,�,预防遭逢不用要的损失。
缝隙描述
Magento是一套专业开源的电子商务系统。本次Adobe官方颁布安全布告披露了的 CVE-2020-24407远程代码执行�、�、CVE-2020-24400 SQL注入等多个缝隙。在拥有治理特权的情况下�,�,攻击者可机关恶意要求�,�,绕过文件上传限度�,�,从而造成远程代码执行�,�,节礼服务器。
l CVE-2020-24407: 代码执行缝隙
该缝隙源于利用法式使用 allow list 步骤查抄文件扩大名时未验证齐全文件名�,�,未经身份验证(必要有治理特权)的攻击者能够利用此缝隙绕过验证并上传恶意文件。
l CVE-2020-24400: SQL注入缝隙
攻击者能够利用它来攻击利用法式对其数据库进行的查问。未经身份验证(必要有治理特权)的攻击者能够利用此缝隙来获得对数据库的肆意读取或写入接见权限。
风险等级
高危
影响版本
l Magento Commerce/Open Source <= 2.3.5-p2
l Magento Commerce/Open Source <= 2.4.0
l Magento Commerce/Open Source <= 2.3.5-p1
修复建议
升级至安全版本
1. Magento Commerce
2.4.0 升级到 2.4.1 版本�;�;2.3.5 升级到 2.3.6 版本
2. Magento Open Source
2.4.0 升级到 2.4.1 版本�;�;2.3.5 升级到 2.3.6 版本
参考链接
[1] https://helpx.adobe.com/security/products/magento/apsb20-59.html
[2] https://devdocs.magento.com/guides/v2.4/release-notes/commerce-2-4-1.html
[3] https://devdocs.magento.com/guides/v2.3/release-notes/commerce-2-3-6.html
[4] https://devdocs.magento.com/guides/v2.4/release-notes/open-source-2-4-1.html
[5] https://devdocs.magento.com/guides/v2.3/release-notes/open-source-2-3-6.html
北京234钱包网络技术有限公司
2020/10/21