久久综合人妻AV四区|国产乱伦手机av片免费|作爱视频在线观看免费|黄色免费三级片高清|国产黄色在线播放|久久精品丝袜噜噜丝袜|国模激情128p|欧美黄片免费视频|草碰日产人人一级爱|日韩欧美亚洲综合在线观看

官方公告

了解金山云最新公告

公告 > 安全公告 > 【風險通告】Adobe Magento遠程代碼執(zhí)行漏洞
【風險通告】Adobe Magento遠程代碼執(zhí)行漏洞

2020-10-21 00:00:00

近日,金山云安全應急響應中心監(jiān)測到,Adobe官方發(fā)布了 CVE-2020-24407 遠程代碼執(zhí)行及CVE-2020-24400: SQL注入漏洞通告。


該漏洞風險等級為高危,請相關用戶盡快將Magento Commerce/Open Source升級到最新版本,做好資產自查工作,避免遭受不必要的損失。


漏洞描述


Magento是一套專業(yè)開源的電子商務系統(tǒng)。本次Adobe官方發(fā)布安全公告披露了的 CVE-2020-24407遠程代碼執(zhí)行、CVE-2020-24400 SQL注入等多個漏洞。在具有管理特權的情況下,攻擊者可構造惡意請求,繞過文件上傳限制,從而造成遠程代碼執(zhí)行,控制服務器。


l CVE-2020-24407: 代碼執(zhí)行漏洞

該漏洞源于應用程序使用 allow list 方法檢查文件擴展名時未驗證完整文件名,未經身份驗證(需要有管理特權)的攻擊者可以利用此漏洞繞過驗證并上傳惡意文件。


l CVE-2020-24400: SQL注入漏洞

攻擊者可以利用它來攻擊應用程序對其數(shù)據庫進行的查詢。未經身份驗證(需要有管理特權)的攻擊者可以利用此漏洞來獲得對數(shù)據庫的任意讀取或寫入訪問權限。


風險等級


高危


影響版本


l Magento Commerce/Open Source <= 2.3.5-p2

l Magento Commerce/Open Source <= 2.4.0

l Magento Commerce/Open Source <= 2.3.5-p1


修復建議


升級至安全版本

1. Magento Commerce

2.4.0 升級到 2.4.1 版本;2.3.5 升級到 2.3.6 版本

2. Magento Open Source

2.4.0 升級到 2.4.1 版本;2.3.5 升級到 2.3.6 版本


參考鏈接

[1] https://helpx.adobe.com/security/products/magento/apsb20-59.html

[2] https://devdocs.magento.com/guides/v2.4/release-notes/commerce-2-4-1.html

[3] https://devdocs.magento.com/guides/v2.3/release-notes/commerce-2-3-6.html

[4] https://devdocs.magento.com/guides/v2.4/release-notes/open-source-2-4-1.html

[5] https://devdocs.magento.com/guides/v2.3/release-notes/open-source-2-3-6.html






北京金山云網絡技術有限公司

2020/10/21


上一篇:【新功能】容器服務KCE-集群彈性伸縮支持自定義伸縮組機型配置 下一篇:【風險通告】WebLogic多個遠程代碼執(zhí)行漏洞