CVE-2024-34102|Magento Open Source XXE漏洞(POC)

2024-06-27 14:56:27 浏览数 (3)

0x00 前言

Magento Open Source 是一款由 Adobe 支持的强大的开源电子商务平台,它为开发者和商家提供了一个构建独特在线商店的基础框架。虽然对于寻求全方位电商解决方案的用户,Adobe Commerce是更全面的选择,但Magento Open Source以其灵活性和可扩展性,依然能够满足许多基本的电子商务需求。

0x01 漏洞描述

Adobe Commerce和Magento Open Sourc多个受影响版本中存在XML外部实体引用限制不当,未经身份验证的威胁者可发送引用外部实体的恶意设计的 XML文档来利用该漏洞,成功利用可能导致任意代码执行。

0x02 CVE编号

CVE-2024-34102

0x03 影响版本

受影响产品

受影响版本(所有平台)

Adobe Commerce

2.4.7 及之前版本2.4.6-p5 及之前版本2.4.5-p7 及之前版本2.4.4-p8 及之前版本2.4.3-ext-7 及之前版本2.4.2-ext-7 及之前版本2.4.1-ext-7 及之前版本2.4.0-ext-7 及之前版本2.3.7-p4-ext-7 及之前版本

Magento Open Source

2.4.7及之前版本2.4.6-p5及之前版本2.4.5-p7及之前版本2.4.4-p8及之前版本

0x04 漏洞详情

https://github.com/spacewasp/public_docs/blob/main/CVE-2024-34102.md

0x05 参考链接

https://github.com/spacewasp/public_docs/blob/main/CVE-2024-34102.md

https://helpx.adobe.com/security/products/magento/apsb24-40.html

https://nvd.nist.gov/vuln/detail/CVE-2024-34102

0 人点赞