据发现该漏洞的安全研究人员称,Adobe Magento中的一个超级严重漏洞可能允许攻击者完全破坏电子商务平台。Adobe已敦促用户更新他们的系统,以保护他们的网站免受该漏洞的滥用,该漏洞的最大可能严重性(CVSS)得分为10。根据10月11日发布的Adobe安全公告,被跟踪为CVE-2022-35698的存储跨站点脚本(XSS)漏洞可能导致任意代码执行。
该漏洞影响Adobe Commerce和Magento Open Source的2.4.4-p1及更早版本以及2.4.5及更早版本。该问题已在2.4.5-p1和2.4.4-p2版本中修复。
据估计,大约有267000个活跃的电子商务网站是使用Magento构建的。
该软件更新还解决了可能被滥用以绕过安全功能的中等严重性、不正确的访问控制漏洞(CVE-2022-35689)。
发现关键漏洞“Blaklis”的研究人员说:“该漏洞基本上允许[攻击者]以非常特定的方式对管理区域进行XSS,这使得受害者很容易触发它正常,定期浏览。这导致了明显令人讨厌的事情,包括全店妥协。所以……这解释了我猜的分数。”
他们补充说:“据我所知,利用它没有特定的先决条件,除了打补丁之外也没有真正的缓解措施。
“这个漏洞很容易被利用,根本不需要身份验证。我通过查看他们的代码发现了这个错误,就像我[已经]做[ne]几年了 - 我现在几乎完全了解他们的代码。”
Blaklis之前著名的Magento发现包括2月份Azure IoT CLI扩展中的一个特权升级漏洞,并且据报道,2020年出现了两个严重错误。
原文始发于微信公众号(郑州网络安全):Adobe修补了使网站面临被收购风险的关键Magento XSS。CVE-2022-35698
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论