Adobe修补了使网站面临被收购风险的关键Magento XSS。CVE-2022-35698

admin 2022年11月10日13:58:12安全漏洞评论22 views723字阅读2分24秒阅读模式

据发现该漏洞的安全研究人员称,Adobe Magento中的一个超级严重漏洞可能允许攻击者完全破坏电子商务平台。Adobe已敦促用户更新他们的系统,以保护他们的网站免受该漏洞的滥用,该漏洞的最大可能严重性(CVSS)得分为10。根据10月11日发布的Adobe安全公告,被跟踪为CVE-2022-35698的存储跨站点脚本(XSS)漏洞可能导致任意代码执行。

Adobe修补了使网站面临被收购风险的关键Magento XSS。CVE-2022-35698

该漏洞影响Adobe Commerce和Magento Open Source的2.4.4-p1及更早版本以及2.4.5及更早版本。该问题已在2.4.5-p1和2.4.4-p2版本中修复。

据估计,大约有267000个活跃的电子商务网站是使用Magento构建的。

该软件更新还解决了可能被滥用以绕过安全功能的中等严重性、不正确的访问控制漏洞(CVE-2022-35689)。

发现关键漏洞“Blaklis”的研究人员说:“该漏洞基本上允许[攻击者]以非常特定的方式对管理区域进行XSS,这使得受害者很容易触发它正常,定期浏览。这导致了明显令人讨厌的事情,包括全店妥协。所以……这解释了我猜的分数。”

他们补充说:“据我所知,利用它没有特定的先决条件,除了打补丁之外也没有真正的缓解措施。

“这个漏洞很容易被利用,根本不需要身份验证。我通过查看他们的代码发现了这个错误,就像我[已经]做[ne]几年了 - 我现在几乎完全了解他们的代码。”

Blaklis之前著名的Magento发现包括2月份Azure IoT CLI扩展中的一个特权升级漏洞,并且据报道,2020年出现了两个严重错误。


原文始发于微信公众号(郑州网络安全):Adobe修补了使网站面临被收购风险的关键Magento XSS。CVE-2022-35698

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月10日13:58:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Adobe修补了使网站面临被收购风险的关键Magento XSS。CVE-2022-35698 http://cn-sec.com/archives/1401484.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: