一、基本情况
Magento Open Source是Adobe公司的一套开源的PHP电子商务系统,该系统提供权限管理、搜索引擎和支付网关等功能。
二、漏洞描述
Adobe修复了 Magento Open Source中的一个XML外部实体注入漏洞(CVE-2024-34102),该漏洞的CVSS评分为9.8。
Adobe Commerce和Magento Open Sourc多个受影响版本中存在XML外部实体引用限制不当,未经身份验证的威胁者可发送引用外部实体的恶意设计的 XML文档来利用该漏洞,成功利用可能导致任意代码执行。
此外,Adobe Commerce和 Magento Open Sourc多个受影响版本中还修复了服务器端请求伪造漏洞(CVE-2024-34111)、身份验证不当漏洞(CVE-2024-34103)、授权不当漏洞(CVE-2024-34104)等多个安全漏洞,成功利用可能导致任意代码执行、权限提升、安全功能绕过。
三、影响范围
受影响产品 | 受影响版本(所有平台) | 修复版本 |
AdobeCommerce | 2.4.7及之前版本 2.4.6-p5及之前版本 2.4.5-p7及之前版本 2.4.4-p8及之前版本 2.4.3-ext-7及之前版本 2.4.2-ext-7及之前版本 2.4.1-ext-7及之前版本 2.4.0-ext-7及之前版本 2.3.7-p4-ext-7及之前版本 | 2.4.7及之前版本:升级到2.4.7-p1 2.4.5-p7及之前版本:升级到2.4.5-p8 2.4.4-p8及之前版本:升级到2.4.4-p9 2.4.3-ext-7及之前版本:升级到2.4.3-ext-8 2.4.2-ext-7及之前版本:升级到2.4.2-ext-8 2.4.1-ext-7及之前版本:升级到2.4.1-ext-8 2.4.0-ext-7及之前版本:升级到2.4.0-ext-8 2.3.7-p4-ext-7及之前版本:升级到2.3.7-p4-ext-8 |
MagentoOpen Source | 2.4.7及之前版本 2.4.6-p5及之前版本 2.4.5-p7及之前版本 2.4.4-p8及之前版本 | 2.4.7及之前版本:升级到2.4.7-p1 2.4.6-p5及之前版本:升级到2.4.6-p6 2.4.5-p7及之前版本:升级到2.4.5-p8 2.4.4-p8及之前版本:升级到2.4.4-p9 |
四、修复建议
目前该漏洞已经修复,受影响用户可参考上表升级到相应修复版本。
