-
-
[翻译]Magento更新以修复影响电子商务网站的严重缺陷
-
发表于: 2021-8-12 11:53 12004
-
Adobe周二发布了安全更新,以修复其Magento电子商务平台中的多个关键漏洞,攻击者可能会滥用这些漏洞来执行任意代码并控制易受攻击的系统。
Magento是一套专业开源的PHP电子商务系统。Magento设计得非常灵活,具有模块化架构体系和丰富的功能。易于与第三方应用系统无缝集成。
这些问题影响Magento Commerce的 2.3.7、2.4.2-p1、2.4.2 和更早版本,以及Magento 开源版的2.3.7、2.4.2-p1和所有之前版本。在解决的26个缺陷中,20个被评为严重,6个被评为重要。Adobe本月修复的漏洞在发布时均未列为公开已知或受到主动攻击。
漏洞如下:
CVE-2021-36021、CVE-2021-36024、CVE-2021-36025、CVE-2021-36034、CVE-2021-36035、CVE-2021-36040、CVE-2021-36025、CVE-2021-36040 ( CVE-2021-36040)得分:9.1) - 由于输入验证不当而导致任意代码执行
CVE-2021-36022和CVE-2021-36023(CVSS 分数:9.1)——由于操作系统命令注入而导致的任意代码执行
CVE-2021-36028 和 CVE-2021-36033(CVSS 评分:9.1)——由于 XML 注入而导致的任意代码执行
CVE-2021-36036(CVSS 评分:9.1)- 由于访问控制不当而导致任意代码执行
CVE-2021-36029(CVSS 评分:9.1)——安全功能绕过
CVE-2021-36032(CVSS 评分:8.3)- 权限提升
CVE-2021-36020(CVSS 分数:8.2)- 由于XML注入而导致的任意代码执行
CVE-2021-36043(CVSS 分数:8.0)——由于服务器端请求伪造 (SSRF) 导致的任意代码执行
CVE-2021-36044(CVSS 评分:7.5)——应用程序拒绝服务
CVE-2021-36030(CVSS 评分:7.5)——安全功能绕过
CVE-2021-36031(CVSS 分数:7.2)- 由于路径遍历而任意执行代码
攻击者可能会滥用上述预身份验证漏洞以提升权限并运行恶意代码,从而使威胁行为者能够控制Magento站点及其服务器。强烈建议用户快速下载适当的补丁并安装它们,以降低与缺陷相关的风险。
数据显示,OWASP TOP10 中60-70%的安全漏洞类型是通过源代码静态分析技术检测出来的,如XML外部实体(XXE)、跨站脚本等。加强软件安全不仅要强化外部安全防御工具及杀毒软件等,更要提高软件自身抵御网络攻击的能力。
软件安全是网络安全最后一道防线,在软件开发时不断检测修复代码缺陷,是加强网络安全的重要手段!在网络犯罪分子日益猖狂的今天,利用静态代码检测技术对软件漏洞、恶意代码进行评估并修复,可以有效提高软件安全性,为网络安全增加保障。同时在软件开发期间修复缺陷可以大大减少企业修复缺陷成本。
参读链接:
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)