Adobe修復電商平台Magento上兩個可引發遠端執行任意程式碼的資安漏洞.png

Adobe 日前發表資安修補包,修復旗下電子商務平台 Magento 的兩個嚴重資安漏洞;這兩個資安漏洞可導致駭侵者任意讀寫資料庫,甚至遠端執行任意程式碼。

CVE-2020-24400 漏洞的類型為 SQL 注入漏洞,利用這個漏洞,駭侵者將可在沒有得到授權的情形下,任意讀取並寫入資料庫,造成資料外洩甚至被竄改。

CVE-2020-24400 的 CVSS 危險程度評分為 6.3 分。

CVE-2020-24407 漏洞存在於檔案上傳的檔名檢查機制不夠嚴謹,當使用允許清單上傳檔案時,不會檢查完整的檔案名稱與副檔名,導致取得系統管理者權限的駭侵者可以跳過驗證程序,直接上傳惡意檔案並遠端執行任意程式碼。

CVE-2020-2447 的 CVSS 危險程度評分亦為 6.3 分。

Adobe 於 10 月 15 日發表的資安修補包,除了上述的兩個嚴重漏洞外,另外也修複了多達 7 個其他較不嚴重的資安漏洞,包括四個不夠完備的認流程漏洞,可讓駭侵者存取受限資源、XSS 漏洞,讓駭侵者可透過瀏覽器執行任意 JavaScript 等等。

這些漏洞發生在 Magento 商業版 2.4.0 與 2.3.5-p1 先前版本,以及 Magento 開源版 2.4.0 與 2.3.5-p1 先前版本。用戶只要更新到 2.4.1 版本之後,即可修補這些漏洞。

  • CVE編號:CVE-2020-24407、CVE-2020-24400
  • 影響產品/版本:Adobe Magento 商業版 2.4.0 與 2.3.5-p1 及先前版本、Adobe Magento 開源版 2.4.0 與 2.3.5-p1 及先前版本
  • 解決方案:升級到 Magento 商業版、開源版 2.4.1 及後續版本

  • 參考連結

https://helpx.adobe.com/security/products/magento/apsb20-59.html

https://www.cybersecurity-help.cz/vdb/SB2020101517

https://threatpost.com/critical-magento-holes-online-shops-code-execution/160181/

    twcert 發表在 痞客邦 留言(0) 人氣()