Magento更新发布以修复影响电子商务网站的关键缺陷

Adobe周二发布了安全更新，以修复其Magento电子商务平台中的多个关键漏洞，攻击者可能会利用这些漏洞执行任意代码并控制易受攻击的系统。

这些问题会影响Magento Commerce的2.3.7、2.4.2-p1、2.4.2和早期版本，以及Magento开源版的2.3.7、2.4.2-p1和所有早期版本。在处理的26个缺陷中，20个被评定为严重缺陷，6个被评定为严重缺陷。Adobe本月修复的漏洞在发布时均未被列为已知漏洞或受到主动攻击。

最令人担忧的错误如下-

• （CVSS分数：9.1）-由于输入验证不当而执行任意代码
• CVE-2021-36022和CVE-2021-36023（CVSS分数：9.1）-由于OS命令注入而导致的任意代码执行
• CVE-2021-36028和CVE-2021-36033（CVSS分数：9.1）-由于XML注入而导致的任意代码执行
• CVE-2021-36036（CVSS分数：9.1）-由于访问控制不当而执行任意代码
• CVE-2021-36029（CVSS分数：9.1）-安全功能旁路
• CVE-2021-36032（CVSS分数：8.3）-权限升级
• CVE-2021-36020（CVSS分数：8.2）-由于XML注入而导致的任意代码执行
• （CVSS分数：8.0）-由于服务器端请求伪造（SSRF）导致的任意代码执行
• CVE-2021-36044（CVSS分数：7.5）-应用程序拒绝服务
• CVE-2021-36030（CVSS分数：7.5）-安全功能旁路
• CVE-2021-36031（CVSS分数：7.2）-路径遍历导致的任意代码执行

成功利用上述预认证漏洞可能会被对手滥用，以提升权限并运行恶意代码，从而使威胁参与者能够控制Magento站点及其服务器。

强烈建议用户快速下载适当的补丁并安装，以降低与缺陷相关的风险。