Adobe周二发布了安全更新，以修复其Magento电子商务平台中的多个关键漏洞，攻击者可能会滥用这些漏洞来执行任意代码并控制易受攻击的系统。

Magento是一套专业开源的PHP电子商务系统。Magento设计得非常灵活，具有模块化架构体系和丰富的功能。易于与第三方应用系统无缝集成。

这些问题影响Magento Commerce的 2.3.7、2.4.2-p1、2.4.2 和更早版本，以及Magento 开源版的2.3.7、2.4.2-p1和所有之前版本。在解决的26个缺陷中，20个被评为严重，6个被评为重要。Adobe本月修复的漏洞在发布时均未列为公开已知或受到主动攻击。

漏洞如下：

CVE-2021-36021、CVE-2021-36024、CVE-2021-36025、CVE-2021-36034、CVE-2021-36035、CVE-2021-36040、CVE-2021-36025、CVE-2021-36040 ( CVE-2021-36040)得分：9.1) - 由于输入验证不当而导致任意代码执行

CVE-2021-36022和CVE-2021-36023(CVSS 分数：9.1)——由于操作系统命令注入而导致的任意代码执行

CVE-2021-36028 和 CVE-2021-36033(CVSS 评分：9.1)——由于 XML 注入而导致的任意代码执行

CVE-2021-36036(CVSS 评分：9.1)- 由于访问控制不当而导致任意代码执行

CVE-2021-36029(CVSS 评分：9.1)——安全功能绕过

CVE-2021-36032(CVSS 评分：8.3)- 权限提升

CVE-2021-36020(CVSS 分数：8.2)- 由于XML注入而导致的任意代码执行

CVE-2021-36043(CVSS 分数：8.0)——由于服务器端请求伪造 (SSRF) 导致的任意代码执行

CVE-2021-36044(CVSS 评分：7.5)——应用程序拒绝服务

CVE-2021-36030(CVSS 评分：7.5)——安全功能绕过

CVE-2021-36031(CVSS 分数：7.2)- 由于路径遍历而任意执行代码

攻击者可能会滥用上述预身份验证漏洞以提升权限并运行恶意代码，从而使威胁行为者能够控制Magento站点及其服务器。强烈建议用户快速下载适当的补丁并安装它们，以降低与缺陷相关的风险。

数据显示，OWASP TOP10 中60-70%的安全漏洞类型是通过源代码静态分析技术检测出来的，如XML外部实体(XXE)、跨站脚本等。加强软件安全不仅要强化外部安全防御工具及杀毒软件等，更要提高软件自身抵御网络攻击的能力。

软件安全是网络安全最后一道防线，在软件开发时不断检测修复代码缺陷，是加强网络安全的重要手段!在网络犯罪分子日益猖狂的今天，利用静态代码检测技术对软件漏洞、恶意代码进行评估并修复，可以有效提高软件安全性，为网络安全增加保障。同时在软件开发期间修复缺陷可以大大减少企业修复缺陷成本。

参读链接：

https://thehackernews.com/

[培训]内核驱动高级班，冲击BAT一流互联网大厂工 作，每周日13:00-18:00直播授课