【安全通报】Adobe Magento 远程代码执行漏洞(CVE-2020-24407)

花屋敷  43天前

image-20201019160138771.png

近日, Adobe官方发布了 CVE-2020-24407 Magento 远程代码执行漏洞通告。

Magento 是一套专业开源的电子商务系统。近日 Adobe 官方发布安全公告披露了在 Magento Commerce/Open Source 2.3 以及 2.4 版本中存在 CVE-2020-24407 远程代码执行、CVE-2020-24400 SQL注入等多个漏洞。在具有管理特权的情况下,攻击者可构造恶意请求,绕过文件上传限制,从而造成远程代码执行,控制服务器。建议相关用户尽快采取安全措施阻止漏洞攻击。

CVE 编号

CVE-2020-24407

影响范围

  • Magento Commerce/Open Source <= 2.3.5-p2
  • Magento Commerce/Open Source <= 2.4.0
  • Magento Commerce/Open Source <= 2.3.5-p1

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="Adobe-Magento")共有 73,334 个相关服务对外开放。美国使用数量最多,共有 31,186 个;德国第二,共有 9,432 个;英国第三,共有 5,368 个;法国第四,共有 3,871 个;荷兰第五,共有 3,633 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

image-20201019155230318.png

中国大陆地区浙江使用数量最多,共有 69 个;北京第二,共有 35 个;上海第三,共有 30 个;广西第四,共有 23 个;山东第五,共有 17 个。

image-20201019155307280.png

修复建议

  1. 将 Magento Commerce/Open Source 升级到 2.4.1/2.3.6 或更高版本。下载链接:https://helpx.adobe.com/security/products/magento/apsb20-59.html

参考

[1] https://helpx.adobe.com/security/products/magento/apsb20-59.html

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论