Magento 存在两个严重漏洞导致任意代码执行或信息泄露

Magento中的两个关键漏洞（Adobe的电子商务平台通常被Magecart威胁组织这样的攻击者作为目标） 可以在受影响的系统上执行任意代码。

在接下来的几个月中，即在本周的亚马逊Prime Day和11月的黑色星期五之间，零售业将蓬勃发展，这给Adobe施加了压力，要求其迅速修补流行的Magento开源平台中的任何漏洞，该平台为许多在线商店提供支持。

该公司周四披露了两个严重漏洞，六个重要等级错误和一个中等严重漏洞，这两个问题困扰着Magento Commerce（针对需要高级支持水平的企业，其许可费每年起价24,000美元）和Magento开源（它的免费替代品）。

任意代码执行漏洞
其中最严重的漏洞包括允许任意代码执行的漏洞。该问题源于使用“允许列表”方法检查文件扩展名时应用程序未验证完整文件名。这可能使攻击者可以绕过验证并上传恶意文件。为了利用此漏洞（CVE-2020-24407），攻击者无需进行预身份验证（这意味着无需凭据即可利用此漏洞）–但是，他们将需要管理特权。

SQL注入漏洞
另一个严重漏洞是SQL注入漏洞。这是一种Web安全漏洞，攻击者可以利用它来攻击应用程序对其数据库进行的查询。未经身份验证但也具有管理特权的攻击者可以利用此漏洞来获得对数据库的任意读取或写入访问权限。

Adobe还针对各种重要的不当授权漏洞发布了补丁程序，这些漏洞在应用程序未正确检查用户是否有权访问功能（最终可能公开数据）时发生。其中包括一个漏洞，该漏洞可能允许未经授权地修改Magento内容管理系统（CMS）页面（CVE-2020-24404）；一个漏洞可能导致未经授权的情况下修改电子商务企业客户列表（CVE-2020-24402）；另外两个漏洞可能允许未经授权访问受限资源（CVE-2020-24405和CVE-2020-24403）。

另一个重要漏洞是由于对用户会话的验证不足而导致的，这可能使攻击者能够未经授权访问受限资源（CVE-2020-24401）。

根据Adobe的说法，对于上述所有漏洞，攻击者将需要具有管理权限，但不需要预先身份验证即可利用该漏洞。

最后，还解决了一个严重性严重的跨站点脚本漏洞（CVE-2020-24408），该漏洞可能允许在浏览器中任意执行JavaScript。要利用此漏洞，攻击者不需要管理特权，但需要凭据。

受影响最大的是Magento Commerce，版本2.3.5-p1和更早版本以及2.4.0和更早版本；以及Magento Open Source（版本2.3.5-p1和更低版本以及2.4.0和更低版本）。Adobe已在Magento Commerce和Magento开源版本2.4.1和2.3.6中发布了补丁（如下），并且“建议用户将其安装更新到最新版本。”

所有漏洞的更新都是优先级2，这意味着它们存在于历史上处于较高风险中的产品中-但是目前尚无已知漏洞利用。

“根据以往的经验，我们预计不会再有漏洞利用。作为最佳实践，Adobe建议管理员（例如在30天内）尽快安装更新。”

确实，Magento在过去的一年中遇到了许多安全漏洞。7月，Adobe修复了两个关键漏洞和两个重要级别的漏洞，这些漏洞可能导致代码执行和签名验证绕过。并且在4月，Adobe修复了Magento中的几个关键漏洞，如果加以利用，则可能导致任意代码执行或信息泄露。

之后，这个问题还附带Magento的1〜6月达到最终的寿命（EOL），与Adobe作出最后努力，敦促10万家网上商店仍在运行过时的版本迁移到Magento的2.电子商务商家必须迁移发行于5年前的Magento 2。