Adobe Magento OR Commerce电子商务系统 XXE漏洞复现(CVE-2024-34102)

已于 2024-06-28 09:56:14 修改
阅读量975 收藏
点赞数 7
分类专栏: 漏洞复现 文章标签: adobe 安全 web安全
于 2024-06-28 09:55:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/140034119
版权

0x01 产品简介

Magento最初是一个开源的电子商务平台,后来被Adobe公司收购,并更名为Adobe Commerce,是一个功能丰富、灵活且可扩展的电子商务解决方案。Adobe Commerce提供了强大的定制能力,允许商家根据自己的业务需求进行灵活调整。通过人工智能和机器学习技术,为B2B和B2C客户提供个性化的内容、促销、推荐和网站搜索,提高转化率。能够帮助商家实现业务增长并提供卓越的购物体验。

0x02 漏洞概述

2024年6月,Adobe官方披露CVE-2024-34102 Magento estimate-shipping-methods XXE漏洞,攻击者可在无需登陆的情况下构造恶意请求利用XXE读取文件,或者结合CVE-2024-2961 可能造成远程代码执行。

0x03 影响范围

Adobe Commerce、Magento Open Source <= 2.4.7

Adobe Commerce、Magento Open Source <= 2.4.6-p5

Adobe Commerce、Magento Open Source <= 2.4.5-p7

Adobe Commerce、Magento Open Source <= 2.4.4-p8

Adobe Commerce < 2.4.3-ext-8

Adobe Commerce < 2.4.2-ext-8

Adobe

了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
专栏目录
订阅专栏
Magento 2.2 SQL注入漏洞
weixin_51387754的博客
12-02 1577
漏洞简介 agento(麦进斗)是一款新的专业开源电子商务平台,采用php进行开发,使用Zend Framework框架。设计得非常灵活,具有模块化架构体系和丰富的功能。 其prepareSqlCondition函数存在一处二次格式化字符串的bug,导致引入了非预期的单引号,造成SQL注入漏洞漏洞复现 使用vulhub 执行如下命令启动Magento 2.2.7: docker-compose up -d 环境启动后,访问http://your-ip:8080,即可看到Magento的安装页面。安装M
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1288
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
【高危安全通告】Adobe Magento Open Source远程代码执行漏洞
bocco的博客
02-16 2368
近日,安全狗应急响应中心监测Adobe Magento Open Source被露出远程代码执行漏洞漏洞编号CVE-2022-24086。可导致恶意用户远程代码执行等危害。 为避免您的业务受影响,安全狗建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞描述 Adobe Magento是美国奥多比(Adobe)公司的一套开源的PHP电子商务系统,该系统提供权限管理、搜索引擎和支付网关等功能,Magento Open Source是Magento的开源版.
黑客在思科商店注入恶意JS,窃取信用卡和凭据
最新发布
smellycat000的专栏
09-05 322
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士思科负责出售公司主题商品的网站目前已下线,处于维护状态,原因是黑客通过JavaScript 代码窃取结账时提供的客户敏感详情。目前尚不清楚思科商店中的恶意 JavaScript 从何而来,不过一名匿名研究员表示似乎是 CosmicSting 攻击 (CVE-2024-34102)。思科商店 (Cisco Merchandise Store) 是一...
【风险通告】Adobe Magento 远程代码执行漏洞
爱国小白帽
10-21 624
[金山云安全](javascript:void(0)???? 今天 近日,金山云安全应急响应中心监测到,Adobe官方发布了CVE-2020-24407远程代码执行及CVE-2020-24400: SQL注入漏洞通告。 该漏洞风险等级为高危,请相关用户尽快将Magento Commerce/Open Source升级到最新版本,做好资产自查工作,避免遭受不必要的损失。 漏洞描述 Magento是一套专业开源的电子商务系统。本次Adobe官方发布安全公告披露了的 CVE-2020-24407远程代码执行、CV
Magento新的ZEND FRAMEWORK安全漏洞
Pedrito666的博客
10-12 319
Magento原厂近日发布了一个与Zend Framework 1和2的Email元件相关的安全漏洞。包括Magento 1.x和Magento 2.x在内的许多PHP解决方案都使用了这个元件。如果您的服务器使用Sendmail作为邮件传输代理的话,这个严重的漏洞可导致恶意的黑客使用远端代码执行攻击。 要保护您的网站免受此漏洞的影响,您应该立即检查邮件发送设定。请到您的Magento商店后台修...
外贸网站Magento存在漏洞导致网站被攻击入侵的防护办法
网站安全专家
05-11 663
有些客户在找我们SINESAFE做网站安全服务之前,客户也找过建站的公司去清除后门,建站公司也将系统迁移升级到了最新的2.4.4版本,但后来发现问题并没有完全的解决,还是会反复的被篡改代码和用户的支付页面被劫持跳转,问题的根源是代码里已经被黑客植入后门了,数据库也被留了木马病毒,这个时候不光是要升级magento到最新版本,还得要把木马后门给彻底的清理掉,做好安全加固和防护,才能彻底的解决这个问题。第三,保存服务器的环境,以及现场的各种信息,如端口网络、应用程序、日志文件等。
PHP实例开发源码-magento开源php电子商务系统 稳定版.zip
10-15
PHP实例开发源码—magento开源php电子商务系统 稳定版.zip PHP实例开发源码—magento开源php电子商务系统 稳定版.zip PHP实例开发源码—magento开源php电子商务系统 稳定版.zip
magento2-alpaca-theme:Magento 2主题建立在专为电子商务设计的Alpaca设计系统之上
03-11
羊驼毛-Magento 2.4的组件和主题 描述 Magento 2的羊驼主题是alpaca-packages一部分。...authorizenet / magento-module-信用卡 和module-alpaca-acm(来自github),将在第1页中添加 主题使用的其他非开源模块涵盖
magento2-docker-compose:Magento 2与Docker Compose
04-30
使用Docker-Compose工具在多容器架构上设置Magento 2 该存储库对应于博客提到的体系结构设置。 Docker-撰写工具 如Docker文档中所述,Compose是用于定义和运行多容器Docker应用程序的工具。 通过Compose,您可以...
复现vulhub中magento的2.2-sqli漏洞
YX_zjp的博客
03-17 1533
Magento(麦进斗)是一款新的专业开源电子商务平台,采用php进行开发,使用Zend Framework框架。其prepareSqlCondition函数存在一处二次格式化字符串的bug,导致引入了非预期的单引号,造成SQL注入漏洞。3、通过访问your-ip:port可以看到Magento的安装页面。时,返回的HTTP状态码不同,通过改变OR的条件,即可实现SQL BOOL型盲注。/magento-sqli.py以下载poc,poc内容为。4、分别访问链接,再通过burp suite抓包,
magento < 1.9 xss 漏洞修复说明
weixin_33922670的博客
02-16 210
magento XSS漏洞 介绍就不说了 百度一下 到处都是这边简单记录下 处理过程, (比较粗暴,是否有效尚未验证)编辑app/design/adminhtml/default/default/template/sales/order/view/info.phtml文件搜索 getCustomerEmail 有两处 输出调用使用 htmlentities 方...
XXE漏洞复现
C233333235的博客
07-25 895
XML外部实体注入(XML Extenrnal Entity Injection),简称XXE漏洞。引发XXE漏洞的主要原因是XML解析依赖库libxml默认开启了对外部实体的引用,导致服务端在解析用户提交的XML信息时未作处理直接进行解析,导致加载恶意的外部文件和代码,造成任意文件读取,命令执行(利用条件苛刻)内网扫描等危害在本篇 文章中我们使用pikachu靶场实现XXE漏洞复现
利用关键Magento 2漏洞对电子商务站点的持续Xurum攻击
m0_73248913的博客
08-15 133
E-commerce sites using Adobe's Magento 2 software are the target of an ongoing campaign that has been active since at least January 2023.The attacks, dubbed Xurum by Akamai, leverage a now-patched critical security flaw (CVE-2022-24086, CVSS score: 9.8) in
利用Vulnhub复现漏洞 - Magento 2.2 SQL注入漏洞
JiangBuLiu的博客
07-12 2516
Magento 2.2 SQL注入漏洞Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现登录管理员账号使用POC读取管理员的session原理理解端口设置浏览器设置BurpSuit设置 Vulnhub官方复现教程 https://vulhub.org/#/environments/magento/2.2-sqli/ 漏洞原理 Magento(麦进斗)是一款新的专业开源电子商务平台,采用ph...
vulhub漏洞复现38_Magento
weixin_44193247的博客
02-08 628
vuihub漏洞复现练习篇
XXE漏洞复现(基于xxe-lab靶场)
weixin_73180072的博客
09-20 587
phpstudywindow10靶场源文件下载完毕后解压放置在phpstudy/www/目录下即可,访问(我这里解压后改了下文件夹名为xxe-lab,所以访问地址变了)
Magento电子商务系统入门与实战指南
Magento是一个强大的开源电子商务平台,因其丰富的功能和灵活性而备受推崇。本指南旨在帮助用户更好地理解和使用Magento系统。以下是关键知识点的详细说明: 1. **Magento的特色**: - Magento提供了一个高度可...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值