Magento更新以修復影響電子商務網站的嚴重缺陷

Adobe週二釋出了安全更新，以修復其Magento電子商務平臺中的多個關鍵漏洞，攻擊者可能會濫用這些漏洞來執行任意程式碼並控制易受攻擊的系統。

Magento是一套專業開源的PHP電子商務系統。Magento設計得非常靈活，具有模組化架構體系和豐富的功能。易於與第三方應用系統無縫整合。

這些問題影響Magento Commerce的 2.3.7、2.4.2-p1、2.4.2 和更早版本，以及Magento 開源版的2.3.7、2.4.2-p1和所有之前版本。在解決的26個缺陷中，20個被評為嚴重，6個被評為重要。Adobe本月修復的漏洞在釋出時均未列為公開已知或受到主動攻擊。

漏洞如下：

CVE-2021-36021、CVE-2021-36024、CVE-2021-36025、CVE-2021-36034、CVE-2021-36035、CVE-2021-36040、CVE-2021-36025、CVE-2021-36040 ( CVE-2021-36040)得分：9.1) - 由於輸入驗證不當而導致任意程式碼執行

CVE-2021-36022和CVE-2021-36023(CVSS 分數：9.1)——由於作業系統命令注入而導致的任意程式碼執行

CVE-2021-36028 和 CVE-2021-36033(CVSS 評分：9.1)——由於 XML 注入而導致的任意程式碼執行

CVE-2021-36036(CVSS 評分：9.1)- 由於訪問控制不當而導致任意程式碼執行

CVE-2021-36029(CVSS 評分：9.1)——安全功能繞過

CVE-2021-36032(CVSS 評分：8.3)- 許可權提升

CVE-2021-36020(CVSS 分數：8.2)- 由於XML注入而導致的任意程式碼執行

CVE-2021-36043(CVSS 分數：8.0)——由於伺服器端請求偽造 (SSRF) 導致的任意程式碼執行

CVE-2021-36044(CVSS 評分：7.5)——應用程式拒絕服務

CVE-2021-36030(CVSS 評分：7.5)——安全功能繞過

CVE-2021-36031(CVSS 分數：7.2)- 由於路徑遍歷而任意執行程式碼

攻擊者可能會濫用上述預身份驗證漏洞以提升許可權並執行惡意程式碼，從而使威脅行為者能夠控制Magento站點及其伺服器。強烈建議使用者快速下載適當的補丁並安裝它們，以降低與缺陷相關的風險。

資料顯示，OWASP TOP10 中60-70%的安全漏洞型別是透過原始碼靜態分析技術檢測出來的，如XML外部實體(XXE)、跨站指令碼等。加強軟體安全不僅要強化外部安全防禦工具及防毒軟體等，更要提高軟體自身抵禦網路攻擊的能力。

軟體安全是網路安全最後一道防線，在軟體開發時不斷檢測修復程式碼缺陷，是加強網路安全的重要手段!在網路犯罪分子日益猖狂的今天，利用 靜態程式碼檢測技術對軟體漏洞、惡意程式碼進行評估並修復，可以有效提高軟體安全性，為網路安全增加保障。同時在軟體開發期間修復缺陷可以大大減少企業修復缺陷成本。Wukong(悟空)靜態程式碼檢測工具，從原始碼開始，為您的軟體安全保駕護航!

參讀連結：