【漏洞通告】Adobe Magento Open Source远程代码执行漏洞(CVE-2022-24086)

0x00 漏洞概述

Adobe Magento是Adobe公司的一套开源的PHP电子商务系统，该系统提供权限管理、搜索引擎和支付网关等功能，Magento Open Source是Magento的开源版本。

2022年2月13日，Adobe发布安全公告，修复了Adobe Commerce 和 Magento Open Source中由于输入验证不当导致的一个远程代码执行漏洞(CVE-2022-24086)，其CVSSv3评分为9.8，成功利用此漏洞将导致任意代码执行。

该漏洞无需任何凭据即可被利用，但攻击者必须具有管理权限。Adobe表示此漏洞已在针对Adobe Commerce用户的有限攻击中被利用。

影响范围

Adobe Commerce、Magento Open Source <= 2.4.3-p1(所有平台)

Adobe Commerce、Magento Open Source <= 2.3.7-p2(所有平台)

注：Adobe Commerce <= 2.3.3版本不受影响。

0x02 安全建议

目前此漏洞已经修复，建议受影响用户及时升级更新到以下版本：

Adobe Commerce更新至：MDVA-43395_EE_2.4.3-p1_v1(所有平台)

Magento Open Source更新至：MDVA-43395_EE_2.4.3-p1_v1(所有平台)

补丁下载链接：

https://support.magento.com/hc/en-us/articles/4426353041293-Security-updates-available-for-Adobe-Commerce-APSB22-12-

0x03 参考链接

https://helpx.adobe.com/security/products/magento/apsb22-12.html

https://thehackernews.com/2022/02/critical-magento-0-day-vulnerability.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24086

0x04 版本信息

来源：维他命安全