CVE-2024-34102｜Magento Open Source XXE漏洞（POC）

2024年6月23日13:45:14评论22 views字数 875阅读2分55秒阅读模式

0x00 前言

Magento Open Source 是一款由 Adobe 支持的强大的开源电子商务平台，它为开发者和商家提供了一个构建独特在线商店的基础框架。虽然对于寻求全方位电商解决方案的用户，Adobe Commerce是更全面的选择，但Magento Open Source以其灵活性和可扩展性，依然能够满足许多基本的电子商务需求。

0x01 漏洞描述

Adobe Commerce和Magento Open Sourc多个受影响版本中存在XML外部实体引用限制不当，未经身份验证的威胁者可发送引用外部实体的恶意设计的 XML文档来利用该漏洞，成功利用可能导致任意代码执行。

0x02 CVE编号

CVE-2024-34102

0x03 影响版本

受影响产品

受影响版本（所有平台）

Adobe Commerce

2.4.7 及之前版本

2.4.6-p5 及之前版本

2.4.5-p7 及之前版本

2.4.4-p8 及之前版本

2.4.3-ext-7 及之前版本

2.4.2-ext-7 及之前版本

2.4.1-ext-7 及之前版本

2.4.0-ext-7 及之前版本

2.3.7-p4-ext-7 及之前版本

Magento Open Source

2.4.7及之前版本

2.4.6-p5及之前版本

2.4.5-p7及之前版本

2.4.4-p8及之前版本

0x04 漏洞详情

https://github.com/spacewasp/public_docs/blob/main/CVE-2024-34102.md

0x05 参考链接

https://github.com/spacewasp/public_docs/blob/main/CVE-2024-34102.md

https://helpx.adobe.com/security/products/magento/apsb24-40.html

https://nvd.nist.gov/vuln/detail/CVE-2024-34102

原文始发于微信公众号（信安百科）：CVE-2024-34102｜Magento Open Source XXE漏洞（POC）

左青龙
微信扫一扫

右白虎
微信扫一扫

CVE-2024-34102｜Magento Open Source XXE漏洞（POC）

用友U8 Cloud smartweb2.showRPCLoadingTip.d XXE漏洞

Fortra FileCatalyst Workflow SQL注入漏洞安全风险通告

安全警告VMSA-2024-0013

Windows最新BUG提权CVE-2024-30088 EXP

【PoC】CVE-2024-5276 (CVSS 9.8)Fortra FileCatalyst 工作流中的严重 SQLi 漏洞

CVE-2024-3833 Chrome的渲染器沙盒RCE

迈普多业务融合网关远程命令执行漏洞

用友U8-Cloud smartweb2.showRPCLoadingTip.d接口存在XXE 附POC

用友 NC uploadControl/uploadFile 任意文件上传漏洞

易天智能eHR管理平台 CreateUser 任意用户添加漏洞

发表评论

在线咨询

微信