Adobe 修复Commerce 和 Magento 平台中的又一个严重RCE

最新推荐文章于 2024-06-20 20:20:21 发布
最新推荐文章于 2024-06-20 20:20:21 发布
阅读量442 收藏
点赞数
文章标签: java 安全 linux git 信息安全
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247510609&idx=2&sn=53c80ddb9a02f50ed2226e24d72d4729&chksm=ea949b3bdde3122d4cc06192a8aa07ef4ebe973574bd842b816eb983e8b79de9054b03b2fb29&scene=126&&sessionid=0
版权

3e93e3c10e74f4e1b61fb17060840568.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

本周四,Adobe 更新安全公告,修复了影响 Adobe Commerce 和 Magento Open Source 平台的又一枚已遭利用的新0day (CVE-2022-24087),可用于执行任意代码。

b61fecfa941d90131457a5a474363b27.png

和前不久修复的另外一个已遭0day(CVE-2022-24086)一样,CVE-2022-24087 的CVSS评分为9.8,和可导致恶意代码执行的“输入验证不当”bug 有关。该公司在安全公告中指出,“我们发现需要对 CVE-2022-24086增加更多的安全防护措施,并发布了更新(CVE-2022-24087)。Adobe 未发现在野利用该更新 (CVE-2022-24087) 中解决的任何 exploit。”

和之前一样,Adobe Commerce 和 Magento Open Source 版本 2.4.3-p1 和更早版本以及 2.3.7-p2和更早版本受CVE-2022-24087漏洞影响,不过值得注意的是2.3.0和2.3.3版本不受影响。

与Eboda一起发现该新漏洞的研究员 Blaklis 指出,“已为 Magento 2 发布新补丁,以缓解预认证远程代码执行。如果只是打上第一个补丁,则仍然不够安全。请再次更新!”

网络安全公司 Positive Technologies 披露称,公司研究员能够成功创建 CVE-2022-24086 的可靠 PoC,以未认证用户身份获得远程代码执行权限,因此用户应尽快应用修复方案以阻止可能的利用。

推荐阅读

十多年前的 Adobe ColdFusion 漏洞被用于勒索攻击

Adobe 修复严重的 Photoshop 缺陷

黑客在野利用 Adobe Reader 0day 漏洞

Adobe 紧急修复严重的 CodeFusion 漏洞

Adobe 再次发布带外更新,修复影响10款产品的漏洞

原文链接

https://thehackernews.com/2022/02/another-critical-rce-discovered-in.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

eff3770855beb1bfe382e838e1964c87.png

107e0aacf15f48e85f4d1e97b1dc57fd.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   bfcc7e45c169c10df8215d62505747a0.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Adobe 将于 2022 年 4 月终止对 Magento 商业版 2.3.x 的支持
无为 的专栏
07-05 2779
在2021年7月之后,2.3.x 的发行版将不再接收质量方面问题的修复,以及对用户指南的更新。将于2021年12月终止对PHP 7.3的支持,于2022年 4月停止对Adobe 商业版 2.3.x的支持。我们强烈建议您现在就开始计划将2.3.x 版升级到 商业版 2.4.x 以及将PHP 升级到 7.4.x版,以便于保持 PCI 的合规性。 After July 2021, the 2.3.x release line will no longer receive quality fixes, or us
Adobe Photoshop RCE(任意代码执行)漏洞(CVE-2022-23205……)
murphysec的博客
05-08 994
CVE-2022-23205、CVE-2022-24098、CVE-2022-24105、CVE-2022-28270、CVE-2022-28271、CVE-2022-28272、CVE-2022-28273、CVE-2022-28274、CVE-2022-28275、CVE-2022-28276、CVE-2022-28277、CVE-2022-28278、CVE-2022-28279 等漏洞是22.5.6版本之前的Photoshop 2021和23.2.2版本之前的Photoshop 2022 没有对恶意
厂商纷纷主动绕过Adobe发布的CVE-2022-24086安全补丁
smellycat000的专栏
01-19 1043
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士电商安全公司 Sansec 提醒称,厂商和机构正在主动绕过Adobe 在2022年2月发布的CVE-2022-24086的安全补丁。该漏洞是位于Adobe CommerceMagento 商店的严重的邮件模板漏洞。CVE-2022-24086(CVSS评分9.8)是位于结账流程一个输入验证不当漏洞,可用于实现任意代码执行。就在补丁发布大...
继收购Magento十个月,Adobe推出Commerce Cloud商务云服务
04-23 209
去年 5 月,软件巨头 Adobe 以 16.8 亿美元的价格,受过了 Magento 。在经历了十个月的业务整合后,该公司终于推出了全新的 Commerce Cloud 商务云服务。据悉,其本质上是一个基于完全托管在云端的 Magento 平台版本,与 Adobe 的其它工具做好了全面的集成,比如分析云、营销云和广告云。 通过此次发布,Adobe 还为平台仪表板添加了新的扩展功能...
【高危安全通告】Adobe Magento Open Source远程代码执行漏洞
bocco的博客
02-16 2313
近日,安全狗应急响应心监测Adobe Magento Open Source被露出远程代码执行漏洞,漏洞编号CVE-2022-24086。可导致恶意用户远程代码执行等危害。 为避免您的业务受影响,安全狗建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞描述 Adobe Magento是美国奥多比(Adobe)公司的一套开源的PHP电子商务系统,该系统提供权限管理、搜索引擎和支付网关等功能,Magento Open SourceMagento的开源版.
aem-core-cif-components:一组配置和组件,可帮助您开始AEM Commerce开发
02-04
要开始一个新项目,请查看我们的项目。 还可以看看我们的,该使用WCM和CIF核心组件来提供令人惊叹的店面体验。 文献资料 有关AEM CIF核心组件的用法和配置说明,请参见我们的 。 可用组件 系统要求 最新版本
Magento-FixFormKey:Magento 1.8模块,用于修复表单密钥在一个的缓存
05-16
Zookal FixFormKey 该模块解决了将表单密钥缓存在一个的问题。 该模块在缓存的块创建一个占位符,并在以后用正确的表单密钥替换该占位符。 与会话ID相同的替换。 修改已在Mage_Core_Block_Abstract使用其方法_...
magento使用过程六个常见的问题和解决方案
03-27
Magento是一款强大的开源电子商务平台,其复杂性和灵活性使得在使用过程可能会遇到各种问题。以下是你提到的六个常见问题及其解决方案: 1. **配置新域名**: 当更换Magento商店的域名时,需要更新数据库的URL...
Magento_paypal:一个小部件,允许为 Magento 创建包裹并修复 express 方法
06-23
允许为 Magento 创建包裹的小部件和快速结账方法的修复 目录结构 有一个名为“paypal”的目录,其包含文件 reveiw.phtml 和 review(2).phtml。 适合您的 Magento 版本的文件需要安装到商店正在使用的模板。 您...
Magento2.3 最新文开发文档
01-07
* 复杂性的下一个层次是通过在页面上的不同位置之间或完全不同的页面上移动功能来对网站进行结构更改。 * 这是使用 Magento 布局引擎实现的。进行布局更改不需要 PHP 编码,但是布局引擎相当复杂。 开发新模块 * ...
利用Vulnhub复现漏洞 - Magento 2.2 SQL注入漏洞
JiangBuLiu的博客
07-12 2434
Magento 2.2 SQL注入漏洞Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现登录管理员账号使用POC读取管理员的session原理理解端口设置浏览器设置BurpSuit设置 Vulnhub官方复现教程 https://vulhub.org/#/environments/magento/2.2-sqli/ 漏洞原理 Magento(麦进斗)是一款新的专业开源电子商务平台,采用ph...
cve-2021-24086(拒绝服务攻击)复现
小白一枚多多关注的博客
06-25 1665
今年出来的一些漏洞一个很有意思的洞,那就是利用ipv6的机制去执行拒绝服务攻击,效果是使受害主机蓝屏等效果,这个漏洞对应的poc就是cve-2021-24086.py,下载链接点击这里。 注意:最好使用kali来进行使用,windows系统需要配置很多东西,不是太简便 实验环境: cve-2021-24086 poc backbox(这里也可以用kali,看个人习惯) windows 7 实验步骤: 1.下载好POC后,我们先用python3 cve-2021-24086运行一下,如果出现
Zabbix登录绕过漏洞复现(CVE-2022-23131)
MrHatSec的博客
04-06 5941
Zabbix登录绕过漏洞复现(CVE-2022-23131)
欧洲最大汽车经销商遭遇勒索攻击、谷歌紧急修复零日漏洞|2月15日全球网络安全热点
qcloud_security的博客
02-15 1351
安全资讯报告 谷歌在2021年向安全研究人员支付了创纪录的870万美元 谷歌表示,它向安全研究人员支付了创纪录的870万美元,其30万美元捐给了慈善机构,用于在2021年通过其漏洞奖励计划披露数千个漏洞。 该公司表示,作为这些计划的一部分,它支付了来自62个国家的696名安全研究人员。分解为Android程序的119名贡献者、Chrome程序的115名贡献者以及涉及Google Cloud、Google Play和其他技术的程序的许多其他贡献者。一些领先的研究人员分别披露了数百个...
Apache CouchDB 代码执行漏洞(CVE-2022-24706)
murphysec的博客
04-27 1426
CVE-2022-24706漏洞是由于3.2.2 版本之前的 CouchDB 的默认配置存在缺陷点, 攻击者可以在未进行身份验证的情况下访问不正确的默认安装进而获得管理员权限。该漏洞影响范围小,建议用户在所有 CouchDB 安装之前安装防火墙。完整的CouchDB api 在注册端口“5984”上可用,这是唯一的需要为单节点安装公开的端口。 编号      CVE-2022-24706 标题 Apache CouchDB 代码执行漏洞 描述 Apache CouchDB是一个开源数据库
Adobe Magento 2 认证证书的变化
无为 的专栏
02-19 376
自从2018年5月Adobe收购Magento以来,到了2020年3月,Adobe才真正开始将Magento的内容整合到Adobe体系,并且还推出了Magento commerce cloud产品。随之关于Magento 2的认证证书和考试也都发生了变化。整合之后Magento 2的认证证书有8个: # Certificate level Exam name(link to details page) Exam number
Magento 2.2 SQL注入漏洞
黑白的博客
12-27 1247
声明 好好学习,天天向上 漏洞描述 Magento(麦进斗)是一款新的专业开源电子商务平台,采用php进行开发,使用Zend Framework框架。设计得非常灵活,具有模块化架构体系和丰富的功能。 其prepareSqlCondition函数存在一处二次格式化字符串的bug,导致引入了非预期的单引号,造成SQL注入漏洞。 影响范围 2.2.* 复现过程 这里使用2.2.7版本 使用vulhub /app/vulhub-master/magento/2.2-sqli 使用docker启动 docker-c
数据结构与算法-差分数组及应用
qq_36115196的博客
06-20 724
差分数组: 其实差分数组是创建一个一个辅助数组,用来表示给定数组的变化,一般用来对数组进行区间修改的操作。
Day43
最新发布
m0_67496588的博客
06-20 990
JSON,Ajax
magento怎么写一个接口
04-01
要写一个Magento接口,需要遵循以下步骤: 1. 创建一个模块:在app/code目录下创建一个新的模块文件夹,例如app/code/MyCompany/MyModule。 2. 创建控制器:在模块文件夹创建一个控制器文件夹,并在其创建一个控制器类。例如,app/code/MyCompany/MyModule/Controller/Api.php。 3. 定义路由:在模块文件夹创建一个etc文件夹,并在其创建一个routes.xml文件。在这个文件定义路由,指向刚刚创建的控制器类。 4. 编写接口方法:在控制器类定义一个接口方法,该方法将接收请求并返回响应。 5. 配置API访问:在Magento的后台,配置API访问密钥和权限。 6. 测试API:使用API客户端测试API。 以下是一个简单的Magento接口示例: 1. 在app/code目录下创建一个新的模块文件夹,例如app/code/MyCompany/MyModule。 2. 在MyModule文件夹创建一个控制器文件夹,并在其创建一个控制器类,例如Api.php。 3. 在MyModule/etc文件夹创建一个routes.xml文件,并在其定义路由,指向Api控制器类。 ``` <?xml version="1.0"?> <config xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="../../../../../../../lib/internal/Magento/Framework/App/etc/routes.xsd"> <router id="standard"> <route id="mymodule" frontName="mymodule"> <module name="MyCompany_MyModule" /> </route> </router> </config> ``` 4. 在Api控制器类定义一个接口方法,例如getProducts()。该方法将接收GET请求并返回产品列表。 ``` <?php namespace MyCompany\MyModule\Controller; use Magento\Framework\App\Action\Action; use Magento\Framework\App\Action\Context; use Magento\Catalog\Model\ProductFactory; class Api extends Action { protected $productFactory; public function __construct( Context $context, ProductFactory $productFactory ) { $this->productFactory = $productFactory; parent::__construct($context); } public function getProducts() { $products = $this->productFactory->create()->getCollection()->getData(); $result = [ 'success' => true, 'products' => $products ]; $this->getResponse()->setBody(json_encode($result)); } } ``` 5. 在Magento的后台,配置API访问密钥和权限。进入系统设置->集成API,启用API,并创建一个新的访问密钥。 6. 使用API客户端测试API。例如,使用curl命令从命令行测试getProducts()方法: ``` curl -H "Authorization: Bearer [access_token]" https://yourstore.com/rest/V1/mymodule/products ``` 其,[access_token]应替换为您的API访问密钥。您应该看到一个包含产品列表的JSON响应。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值