Magento 存在兩個嚴重漏洞導致任意代碼執行或信息泄露

Magento中的兩個關鍵漏洞（Adobe的電子商務平臺通常被Magecart威脅組織這樣的攻擊者作為目標） 可以在受影響的系統上執行任意代碼。

在接下來的幾個月中，即在本周的亞馬遜Prime Day和11月的黑色星期五之間，零售業將蓬勃發展，這給Adobe施加了壓力，要求其迅速修補流行的Magento開源平臺中的任何漏洞，該平臺為許多在線商店提供支持。

該公司周四披露了兩個嚴重漏洞，六個重要等級錯誤和一個中等嚴重漏洞，這兩個問題困擾著Magento Commerce（針對需要高級支持水平的企業，其許可費每年起價24,000美元）和Magento開源（它的免費替代品）。

任意代碼執行漏洞
其中最嚴重的漏洞包括允許任意代碼執行的漏洞。該問題源于使用“允許列表”方法檢查文件擴展名時應用程序未驗證完整文件名。這可能使攻擊者可以繞過驗證并上傳惡意文件。為了利用此漏洞（CVE-2020-24407），攻擊者無需進行預身份驗證（這意味著無需憑據即可利用此漏洞）–但是，他們將需要管理特權。

SQL注入漏洞
另一個嚴重漏洞是SQL注入漏洞。這是一種Web安全漏洞，攻擊者可以利用它來攻擊應用程序對其數據庫進行的查詢。未經身份驗證但也具有管理特權的攻擊者可以利用此漏洞來獲得對數據庫的任意讀取或寫入訪問權限。

Adobe還針對各種重要的不當授權漏洞發布了補丁程序，這些漏洞在應用程序未正確檢查用戶是否有權訪問功能（最終可能公開數據）時發生。其中包括一個漏洞，該漏洞可能允許未經授權地修改Magento內容管理系統（CMS）頁面（CVE-2020-24404）；一個漏洞可能導致未經授權的情況下修改電子商務企業客戶列表（CVE-2020-24402）；另外兩個漏洞可能允許未經授權訪問受限資源（CVE-2020-24405和CVE-2020-24403）。

另一個重要漏洞是由于對用戶會話的驗證不足而導致的，這可能使攻擊者能夠未經授權訪問受限資源（CVE-2020-24401）。

根據Adobe的說法，對于上述所有漏洞，攻擊者將需要具有管理權限，但不需要預先身份驗證即可利用該漏洞。

最后，還解決了一個嚴重性嚴重的跨站點腳本漏洞（CVE-2020-24408），該漏洞可能允許在瀏覽器中任意執行JavaScript。要利用此漏洞，攻擊者不需要管理特權，但需要憑據。

受影響最大的是Magento Commerce，版本2.3.5-p1和更早版本以及2.4.0和更早版本；以及Magento Open Source（版本2.3.5-p1和更低版本以及2.4.0和更低版本）。Adobe已在Magento Commerce和Magento開源版本2.4.1和2.3.6中發布了補丁（如下），并且“建議用戶將其安裝更新到最新版本。”

所有漏洞的更新都是優先級2，這意味著它們存在于歷史上處于較高風險中的產品中-但是目前尚無已知漏洞利用。

“根據以往的經驗，我們預計不會再有漏洞利用。作為最佳實踐，Adobe建議管理員（例如在30天內）盡快安裝更新。”

確實，Magento在過去的一年中遇到了許多安全漏洞。7月，Adobe修復了兩個關鍵漏洞和兩個重要級別的漏洞，這些漏洞可能導致代碼執行和簽名驗證繞過。并且在4月，Adobe修復了Magento中的幾個關鍵漏洞，如果加以利用，則可能導致任意代碼執行或信息泄露。

之后，這個問題還附帶Magento的1?6月達到最終的壽命（EOL），與Adobe作出最后努力，敦促10萬家網上商店仍在運行過時的版本遷移到Magento的2.電子商務商家必須遷移發行于5年前的Magento 2。