【高危安全通告】Adobe Magento Open Source远程代码执行漏洞

最新推荐文章于 2024-03-17 21:37:36 发布
最新推荐文章于 2024-03-17 21:37:36 发布
阅读量2.4k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全狗 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bocco/article/details/122964706
安全狗应急响应中心发现Adobe Magento OpenSource存在远程代码执行漏洞CVE-2022-24086,攻击者无需凭证即可利用此漏洞。Adobe已发布补丁,建议受影响用户尽快升级到安全版本,如AdobeCommerce 2.4.3-p1和MagentoOpenSource 2.4.3-p1,以防止潜在攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

近日,安全狗应急响应中心监测Adobe Magento Open Source被露出远程代码执行漏洞,漏洞编号CVE-2022-24086。可导致恶意用户远程代码执行等危害。

 

为避免您的业务受影响,安全狗建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞描述

Adobe Magento是美国奥多比(Adobe)公司的一套开源的PHP电子商务系统,该系统提供权限管理、搜索引擎和支付网关等功能,Magento Open Source是Magento的开源版本。

2022年2月13日,Adobe发布安全公告,Magento存在输入验证错误漏洞,该漏洞源于输入验证不当。攻击者可利用该漏洞向应用程序发送专门设计的请求,并在目标系统上执行任意代码,且该漏洞无需任何凭据即可被利用,但攻击者必须具有管理权限。Adobe表示此漏洞已在针对Adobe Commerce用户的有限攻击中被利用。

安全通告信息

漏洞名称

Adobe Magento Open Source远程代码执行漏洞

漏洞影响版本

Adobe Commerce<=2.4.3-p1

Adobe Commerce<=2.3.7-p2

Magento Open Source<=2.4.3-p1

Magento Open Source<=2.3.7-p2

注:Adobe Commerce<=2.3.3版本不受影响。

漏洞危害等级

高危

厂商是否已发布漏洞补丁

版本更新地址

https://www.cybersecurity-help.cz/vdb/SB2022021301

https://helpx.adobe.com/security/products/magento/apsb22-12.html

https://thehackernews.com/2022/02/critical-magento-0-day-vulnerability.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24086

安全狗总预警期数

201

安全狗发布预警日期

2022年2月15日

安全狗更新预警日期

2022年2月15日

发布者

安全狗海青实验室

处置措施

安全建议

目前此漏洞已经修复,建议受影响用户及时升级更新到以下版本:

Adobe Commerce更新至:MDVA-43395_EE_2.4.3-p1_v1(所有平台)

Magento Open Source更新至:MDVA-43395_EE_2.4.3-p1_v1(所有平台)

补丁下载链接:

https://support.magento.com/hc/en-us/articles/4426353041293-Security-updates-available-for-Adobe-Commerce-APSB22-12

修复建议

https://www.cybersecurity-help.cz/vdb/SB2022021301

https://helpx.adobe.com/security/products/magento/apsb22-12.html

https://thehackernews.com/2022/02/critical-magento-0-day-vulnerability.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24086

Adobe Magento OR Commerce电子商务系统 XXE漏洞复现(CVE-2024-34102)
0xSec
06-28 1293
2024年6月,Adobe官方披露CVE-2024-34102 Magento estimate-shipping-methods XXE漏洞,攻击者可在无需登陆的情况下构造恶意请求利用XXE读取文件,或者结合CVE-2024-2961 可能造成远程代码执行
漏洞复现】CVE-2024-34102 Magento Open Source XXE漏洞
渗透之路,攻防之间皆学问
12-11 2020
Adobe Commerce和Magento Open Sourc多个受影响版本中存在XML外部实体引用限制不当,未经身份验证的威胁者可发送引用外部实体的恶意设计的 XML文档来利用该漏洞,成功利用可能导致任意代码执行
【风险通告Adobe Magento 远程代码执行漏洞
爱国小白帽
10-21 704
[金山云安全](javascript:void(0)???? 今天 近日,金山云安全应急响应中心监测到,Adobe官方发布了CVE-2020-24407远程代码执行CVE-2020-24400: SQL注入漏洞通告。 该漏洞风险等级为高危,请相关用户尽快将Magento Commerce/Open Source升级到最新版本,做好资产自查工作,避免遭受不必要的损失。 漏洞描述 Magento是一套专业开源的电子商务系统。本次Adobe官方发布安全公告披露了的 CVE-2020-24407远程代码执行、CV
Magento新的ZEND FRAMEWORK安全漏洞
Pedrito666的博客
10-12 378
Magento原厂近日发布了一个与Zend Framework 1和2的Email元件相关的安全漏洞。包括Magento 1.x和Magento 2.x在内的许多PHP解决方案都使用了这个元件。如果您的服务器使用Sendmail作为邮件传输代理的话,这个严重的漏洞可导致恶意的黑客使用远端代码执行攻击。 要保护您的网站免受此漏洞的影响,您应该立即检查邮件发送设定。请到您的Magento商店后台修...
Magento 2.2 SQL注入漏洞
weixin_51387754的博客
12-02 1644
漏洞简介 agento(麦进斗)是一款新的专业开源电子商务平台,采用php进行开发,使用Zend Framework框架。设计得非常灵活,具有模块化架构体系和丰富的功能。 其prepareSqlCondition函数存在一处二次格式化字符串的bug,导致引入了非预期的单引号,造成SQL注入漏洞漏洞复现 使用vulhub 执行如下命令启动Magento 2.2.7: docker-compose up -d 环境启动后,访问http://your-ip:8080,即可看到Magento的安装页面。安装M
Magento Open Source:开发人员和小型企业的电子商务平台-开源
05-12
Magento Open Source,作为一款专为开发人员和小型企业设计的电子商务平台,是电子商务领域的重量级选手,尤其在开源社区中享有盛誉。该平台由PHP编程语言构建,提供了丰富的功能和高度的可定制性,使其成为商家打造...
介绍下Magento Open Source的B2B Suite搭建B2B商城有哪些工作?
最新发布
03-26
好的,我现在需要帮助用户了解如何使用Magento Open Source的B2B Suite搭建B2B商城的工作流程。首先,我需要回顾用户的问题,确保我正确理解了需求。用户提到参考了两个引用,其中引用[1]提到了Magento是开源电子...
magento:Magento CE 1.x源代码-ce source code
03-25
10. **安全性**:源代码中包含安全措施,如SQL注入防御、XSS防护等,但开发者仍需关注安全更新,防止潜在威胁。 学习Magento CE 1.x源代码对电商开发者尤其有价值,能提升对后台逻辑的理解,便于开发插件、优化性能...
利用关键Magento 2漏洞对电子商务站点的持续Xurum攻击
m0_73248913的博客
08-15 204
E-commerce sites using Adobe's Magento 2 software are the target of an ongoing campaign that has been active since at least January 2023.The attacks, dubbed Xurum by Akamai, leverage a now-patched critical security flaw (CVE-2022-24086, CVSS score: 9.8) in
复现vulhub中magento的2.2-sqli漏洞
YX_zjp的博客
03-17 1736
Magento(麦进斗)是一款新的专业开源电子商务平台,采用php进行开发,使用Zend Framework框架。其prepareSqlCondition函数存在一处二次格式化字符串的bug,导致引入了非预期的单引号,造成SQL注入漏洞。3、通过访问your-ip:port可以看到Magento的安装页面。时,返回的HTTP状态码不同,通过改变OR的条件,即可实现SQL BOOL型盲注。/magento-sqli.py以下载poc,poc内容为。4、分别访问链接,再通过burp suite抓包,
外贸网站Magento存在漏洞导致网站被攻击入侵的防护办法
网站安全专家
05-11 787
有些客户在找我们SINESAFE做网站安全服务之前,客户也找过建站的公司去清除后门,建站公司也将系统迁移升级到了最新的2.4.4版本,但后来发现问题并没有完全的解决,还是会反复的被篡改代码和用户的支付页面被劫持跳转,问题的根源是代码里已经被黑客植入后门了,数据库也被留了木马病毒,这个时候不光是要升级magento到最新版本,还得要把木马后门给彻底的清理掉,做好安全加固和防护,才能彻底的解决这个问题。第三,保存服务器的环境,以及现场的各种信息,如端口网络、应用程序、日志文件等。
magento < 1.9 xss 漏洞修复说明
weixin_33922670的博客
02-16 248
magento XSS漏洞 介绍就不说了 百度一下 到处都是这边简单记录下 处理过程, (比较粗暴,是否有效尚未验证)编辑app/design/adminhtml/default/default/template/sales/order/view/info.phtml文件搜索 getCustomerEmail 有两处 输出调用使用 htmlentities 方...
vulhub漏洞复现38_Magento
weixin_44193247的博客
02-08 683
vuihub漏洞复现练习篇
厂商纷纷主动绕过Adobe发布的CVE-2022-24086安全补丁
smellycat000的专栏
01-19 1193
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士电商安全公司 Sansec 提醒称,厂商和机构正在主动绕过Adobe 在2022年2月发布的CVE-2022-24086的安全补丁。该漏洞是位于Adobe Commerce 和 Magento 商店的严重的邮件模板漏洞CVE-2022-24086(CVSS评分9.8)是位于结账流程中的一个输入验证不当漏洞,可用于实现任意代码执行。就在补丁发布大...
Magento2 - 能够完全控制网店的漏洞 (CVE-2016-4010)
weixin_33897722的博客
06-02 848
以色列安全研究人员Netanel Rubin于2016年5月17日报告了关于Magento电子商务平台的高危漏洞。攻击者可以利于XMLRPC或REST接口中对于参数序列化与反序列化的逻辑错误,任意替换对象中与数据库操作、文件操作等敏感内容相关类,以达到完全控制网詀的漏洞。该漏洞代号CVE-2016-4010,威胁度评分可达9.8/10。对于该漏洞,Mag...
利用Vulnhub复现漏洞 - Magento 2.2 SQL注入漏洞
JiangBuLiu的博客
07-12 2626
Magento 2.2 SQL注入漏洞Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现登录管理员账号使用POC读取管理员的session原理理解端口设置浏览器设置BurpSuit设置 Vulnhub官方复现教程 https://vulhub.org/#/environments/magento/2.2-sqli/ 漏洞原理 Magento(麦进斗)是一款新的专业开源电子商务平台,采用ph...
Adobe 修复Commerce 和 Magento 平台中的又一个严重RCE
smellycat000的专栏
02-18 531
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周四,Adobe 更新安全公告,修复了影响 Adobe Commerce 和 Magento Open Source 平台的又一枚已遭...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值