Adobe Magento Open Source远程代码执行漏洞修复方案

　　近日，安全狗应急响应中心监测Adobe Magento Open Source被露出远程代码执行漏洞，漏洞编号CVE-2022-24086。可导致恶意用户远程代码执行等危害。

　　为避免您的业务受影响，安全狗建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

　　Adobe Magento Open Source漏洞描述

　　Adobe Magento是美国奥多比(Adobe)公司的一套开源的PHP电子商务系统，该系统提供权限管理、搜索引擎和支付网关等功能，Magento Open Source是Magento的开源版本。

　　2022年2月13日，Adobe发布安全公告，Magento存在输入验证错误漏洞，该漏洞源于输入验证不当。攻击者可利用该漏洞向应用程序发送专门设计的请求，并在目标系统上执行任意代码，且该漏洞无需任何凭据即可被利用，但攻击者必须具有管理权限。Adobe表示此漏洞已在针对Adobe Commerce用户的有限攻击中被利用。

　　安全通告信息

　　漏洞名称:Adobe Magento Open Source远程代码执行漏洞

　　漏洞影响版本：

　　Adobe Commerce<=2.4.3-p1

　　Adobe Commerce<=2.3.7-p2

　　Magento Open Source<=2.4.3-p1

　　Magento Open Source<=2.3.7-p2

　　注：Adobe Commerce<=2.3.3版本不受影响。

　　漏洞危害等级：高危

　　厂商是否已发布漏洞补丁：是

　　版本更新地址：

　　https://www.cybersecurity-help.cz/vdb/SB2022021301

　　https://helpx.adobe.com/security/products/magento/apsb22-12.html

　　https://thehackernews.com/2022/02/critical-magento-0-day-vulnerability.html

　　https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24086

　　安全建议

　　目前此漏洞已经修复，建议受影响用户及时升级更新到以下版本：

　　Adobe Commerce更新至：MDVA-43395_EE_2.4.3-p1_v1(所有平台)

　　Magento Open Source更新至：MDVA-43395_EE_2.4.3-p1_v1(所有平台)

　　补丁下载链接：https://support.magento.com/hc/en-us/articles/4426353041293-Security-updates-available-for-Adobe-Commerce-APSB22-12

　　修复建议

　　https://www.cybersecurity-help.cz/vdb/SB2022021301

　　https://helpx.adobe.com/security/products/magento/apsb22-12.html

　　https://thehackernews.com/2022/02/critical-magento-0-day-vulnerability.html

　　https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24086