漏洞描述:
Adobe Magento Open Source是Adobe公司的一套开源的PHP电子商务系统,该系统提供权限管理、搜索引擎和支付网关等功能,近日监测到威胁者正在利用AdobeMagentoOpenSource命令注入漏洞(CVE-2024-20720)向电子商务网站注入持久后门,目前该漏洞的利用细节已公开,Adobe Magento Open Source 2.4.6-p4、2.4.5-p6及2.4.4-p7之前版本中存在命令注入漏洞,具有管理权限的威胁者可利用该漏洞导致任意代码执行,目前该漏洞已发现被利用,威胁者通过利用数据库中恶意设计的布局模板来自动注入XML代码,以实现系统的持久感染。
影响范围:
Adobe Magento Open Source <= 2.4.6-p3
Adobe Magento Open Source <= 2.4.5-p5
Adobe Magento Open Source <= 2.4.4-p6
安全措施:
升级版本
目前该漏洞已经修复,受影响用户可升级到Magento版本2.4.6-p4、2.4.5-p6 、2.4.4-p7或更高版本。
链接:
https://helpx.adobe.com/security/products/magento/apsb24-03.html
临时措施:
暂无
参考链接:
https://helpx.adobe.com/security/products/magento/apsb24-03.html
原文始发于微信公众号(飓风网络安全):【漏洞预警】Adobe Magento Open Source命令注入漏洞(CVE-2024-20720)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论