无码一区二区三区,亚洲精品久久久久久一区二区,好吊视频一区二区三区,亚洲精品一区中文字幕乱码

官方公告

了解金山云最新公告

公告 > 安全公告 > 【風(fēng)險(xiǎn)通告】Adobe Magento遠(yuǎn)程代碼執(zhí)行漏洞
【風(fēng)險(xiǎn)通告】Adobe Magento遠(yuǎn)程代碼執(zhí)行漏洞

2020-10-21 00:00:00

近日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到,Adobe官方發(fā)布了 CVE-2020-24407 遠(yuǎn)程代碼執(zhí)行及CVE-2020-24400: SQL注入漏洞通告。


該漏洞風(fēng)險(xiǎn)等級(jí)為高危,請(qǐng)相關(guān)用戶盡快將Magento Commerce/Open Source升級(jí)到最新版本,做好資產(chǎn)自查工作,避免遭受不必要的損失。


漏洞描述


Magento是一套專業(yè)開(kāi)源的電子商務(wù)系統(tǒng)。本次Adobe官方發(fā)布安全公告披露了的 CVE-2020-24407遠(yuǎn)程代碼執(zhí)行、CVE-2020-24400 SQL注入等多個(gè)漏洞。在具有管理特權(quán)的情況下,攻擊者可構(gòu)造惡意請(qǐng)求,繞過(guò)文件上傳限制,從而造成遠(yuǎn)程代碼執(zhí)行,控制服務(wù)器。


l CVE-2020-24407: 代碼執(zhí)行漏洞

該漏洞源于應(yīng)用程序使用 allow list 方法檢查文件擴(kuò)展名時(shí)未驗(yàn)證完整文件名,未經(jīng)身份驗(yàn)證(需要有管理特權(quán))的攻擊者可以利用此漏洞繞過(guò)驗(yàn)證并上傳惡意文件。


l CVE-2020-24400: SQL注入漏洞

攻擊者可以利用它來(lái)攻擊應(yīng)用程序?qū)ζ鋽?shù)據(jù)庫(kù)進(jìn)行的查詢。未經(jīng)身份驗(yàn)證(需要有管理特權(quán))的攻擊者可以利用此漏洞來(lái)獲得對(duì)數(shù)據(jù)庫(kù)的任意讀取或?qū)懭朐L問(wèn)權(quán)限。


風(fēng)險(xiǎn)等級(jí)


高危


影響版本


l Magento Commerce/Open Source <= 2.3.5-p2

l Magento Commerce/Open Source <= 2.4.0

l Magento Commerce/Open Source <= 2.3.5-p1


修復(fù)建議


升級(jí)至安全版本

1. Magento Commerce

2.4.0 升級(jí)到 2.4.1 版本;2.3.5 升級(jí)到 2.3.6 版本

2. Magento Open Source

2.4.0 升級(jí)到 2.4.1 版本;2.3.5 升級(jí)到 2.3.6 版本


參考鏈接

[1] https://helpx.adobe.com/security/products/magento/apsb20-59.html

[2] https://devdocs.magento.com/guides/v2.4/release-notes/commerce-2-4-1.html

[3] https://devdocs.magento.com/guides/v2.3/release-notes/commerce-2-3-6.html

[4] https://devdocs.magento.com/guides/v2.4/release-notes/open-source-2-4-1.html

[5] https://devdocs.magento.com/guides/v2.3/release-notes/open-source-2-3-6.html






北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2020/10/21


沧州市| 沙坪坝区| 湘乡市| 西乡县| 凤翔县| 东源县| 岢岚县| 芦山县| 南开区| 上饶县| 贵州省| 新竹市| 靖州| 鹤山市| 梁山县| 渑池县| 常山县| 高陵县| 资源县| 镇坪县| 若尔盖县| 清镇市| 涿鹿县| 甘孜| 封丘县| 永平县| 尼勒克县| 铜梁县| 新巴尔虎右旗| 乌兰察布市| 莱州市| 会昌县| 青浦区| 左贡县| 浮梁县| 鄯善县| 伊春市| 云南省| 锡林郭勒盟| 德兴市| 通榆县|