Adobe宣布已发布Magento 2的补丁,以修复多个关键漏洞。其中一些漏洞可以允许攻击者接管管理员会话以及授予对客户信息的访问权限。
影响流行的Magento Ecommerce平台的漏洞影响开源和商业版本。
根据Magento开源
“有助于关闭远程代码执行(RCE)和交叉的三十三个安全增强功能-Site脚本(XSS)漏洞
没有与这些问题相关的确认攻击已发生到目日期。
然而,可能会潜在利用某些漏洞来访问客户信息或接管管理员会话。“
在Magento电子商务平台中修补的漏洞
Adobe宣布释放了Magento 2.4.3,其中包含总共33个安全增强功能。
这些安全问题会影响Magento的商业和开源版本。
受影响的商业万选版本:
2.4.2及更早版本2.4.2-P1和早期版本2.3.7及早期版本
营收受影响的Magento版本:
2.4.2-P1和早期版本2.3.7和早期版本的AdvertiseMentContinue读数下面
关键的Magento安全问题
一些安全问题是关键的。特别注意
是十六个安全漏洞中的Adobe宣布的,其中十个不需要任何管理员或用户凭据来利用Magento。
剩余的六种漏洞要求攻击者已经有管理员级别权限。
11漏洞被评为至关重要,其余的评级是重要的。
玛特
虽然不应忽视所有漏洞,但额定关键的漏洞相对尤为危险。
有四种漏洞:
任意代码执行(7漏洞)安全功能旁路(2)应用程序拒绝服务(1)特权升级(1)
Magento任意代码执行
影响Magento的任意代码执行漏洞组成六种攻击。
不正确的访问Controlimproper输入验证路径Traversalos命令注入服务器 – 侧请求伪造(SSRF)XML注射(AKA盲目XPath) Magento安全功能旁路漏洞的示例
有两个影响MAGENTO 2.4.3版本修补的MAGENO的安全功能旁路问题。 不正确的输入验证
这种问题与未正确验证危险的输入有关软件处理。这允许攻击者创建一个可能导致任意代码执行的意外输入。
授权不当
一个不当授权漏洞是当软件无法正确检查用户是否具有权限级别人员制作投入具有适当的凭据。下面的前往下面的rectionSementInue读数上述漏洞的一个共同特征是它们允许攻击者获得软件中的敏感位置,允许攻击者执行任意命令。
“”Magento发布了对Adobe Commerce和Magento开源版的更新。这些更新解决漏洞评估至关重要和重要。成功的剥削可能导致任意代码执行。“ magento更新版本2.4.3 建议考虑更新最新版本的Magento是安全的。 Adobe的发布说明状态存在一些向后兼容性问题。 一些更改是释放的INDEPEN如此,可以以这种方式更新。广告联系读数下面请阅读安全公告中的完整Adobe发行说明。 引文 Adobe安全公告 Magento开源2.4.3释放注意 Adobe Commerce 2.4.3释放注意 微小的后向不相容问题 主要的向后兼容性问题
