Adobe 宣布了一个影响 Adobe Commerce 和 Magento Open Source 的严重漏洞。 Adobe Commerce 商家已受到攻击,目前对该漏洞的利用十分猖獗。
Adobe 分享的漏洞的一个重要细节是,无需身份验证即可成功执行成功利用。
这意味着攻击者无需获取用户登录权限即可利用该漏洞。
Adobe 分享的有关此漏洞的第二个细节是,利用此漏洞不需要管理员权限。
Adobe 漏洞评级
Adobe 发布了三个漏洞评级指标:
- 通用漏洞评分系统 (CVSS)
- 优先
- 漏洞级别
通用漏洞评分系统 (CVSS)
通用漏洞评分系统 (CVSS) 是由非营利组织 (第一组织) 基于 1 到 10 的等级来对漏洞进行评分。
1 分表示关注度最低,10 分表示漏洞严重程度最高。
Adobe Commerce 和 Magento 漏洞的 CVSS 评分为 9.8。
漏洞优先级
优先级度量具有三个级别,1、2 和 3。级别 1 是最严重的,级别 3 是最不严重的。
Adobe 已将此漏洞利用的优先级列为 1,这是最高级别。
1 级优先级意味着漏洞正在网站中被积极利用。
对于商家来说,这是最糟糕的情况,因为这意味着未打补丁的 Adobe Commerce 和 Magento 实例很容易受到黑客攻击。
Adobe 对优先级 1 的定义是:
“此更新通过针对给定产品版本和平台的野外利用解决了成为目标的漏洞或具有较高目标风险的漏洞。
Adobe 建议管理员尽快安装更新。 (例如,72 小时内)。”
漏洞级别
Adobe 的漏洞级别被命名为中等、重要和严重,其中严重代表最危险的级别。
分配给 Adobe Commerce 和 Magento 开源漏洞利用的漏洞级别被评为严重,这是最危险的评级级别。
Adobe的定义 的关键评级水平是:
“一个漏洞,如果被利用,可能会在用户不知情的情况下执行恶意本机代码。”
任意代码执行漏洞
让这个漏洞特别令人担忧的是,Adobe 承认这是一个任意代码执行漏洞。
任意代码执行通常意味着攻击者可以运行的代码类型不受范围限制,而是基本上对他们想要的任何代码开放,以便执行几乎任何他们想要的任务或命令。
任意代码执行漏洞是一种非常严重的攻击类型。
哪些版本受到影响
Adobe 宣布发布更新补丁以修复受影响的软件版本。
这 更新发行说明 声明:
“这些补丁经过测试可以解决从 2.3.3-p1 到 2.3.7-p2 以及从 2.4.0 到 2.4.3-p1 的所有版本的问题。”
主要漏洞公告称,Adobe Commerce 2.3.3 及更低版本不受影响。
Adobe 建议受影响软件的用户立即更新他们的安装。
引文
阅读 Adobe 安全公告
适用于 Adobe Commerce 的安全更新 | APSB22-12
阅读 Adobe Commerce 和 Magento 开源补丁发行说明
适用于 Adobe Commerce APSB22-12 的安全更新
