Adobe 修复Commerce 和 Magento 平台中的又一个严重RCE

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

本周四，Adobe 更新安全公告，修复了影响 Adobe Commerce 和 Magento Open Source 平台的又一枚已遭利用的新0day (CVE-2022-24087)，可用于执行任意代码。

和前不久修复的另外一个已遭0day（CVE-2022-24086）一样，CVE-2022-24087 的CVSS评分为9.8，和可导致恶意代码执行的“输入验证不当”bug 有关。该公司在安全公告中指出，“我们发现需要对 CVE-2022-24086增加更多的安全防护措施，并发布了更新（CVE-2022-24087）。Adobe 未发现在野利用该更新 (CVE-2022-24087) 中解决的任何 exploit。”

和之前一样，Adobe Commerce 和 Magento Open Source 版本 2.4.3-p1 和更早版本以及 2.3.7-p2和更早版本受CVE-2022-24087漏洞影响，不过值得注意的是2.3.0和2.3.3版本不受影响。

与Eboda一起发现该新漏洞的研究员 Blaklis 指出，“已为 Magento 2 发布新补丁，以缓解预认证远程代码执行。如果只是打上第一个补丁，则仍然不够安全。请再次更新！”

网络安全公司 Positive Technologies 披露称，公司研究员能够成功创建 CVE-2022-24086 的可靠 PoC，以未认证用户身份获得远程代码执行权限，因此用户应尽快应用修复方案以阻止可能的利用。

---

推荐阅读

十多年前的 Adobe ColdFusion 漏洞被用于勒索攻击

Adobe 修复严重的 Photoshop 缺陷

黑客在野利用 Adobe Reader 0day 漏洞

Adobe 紧急修复严重的 CodeFusion 漏洞

Adobe 再次发布带外更新，修复影响10款产品的漏洞

原文链接

https://thehackernews.com/2022/02/another-critical-rce-discovered-in.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~

原文始发于微信公众号（代码卫士）：Adobe 修复Commerce 和 Magento 平台中的又一个严重RCE