近日，金山云安全应急响应中心监测到，Adobe官方发布了 CVE-2020-24407 远程代码执行及CVE-2020-24400: SQL注入漏洞通告。

该漏洞风险等级为高危，请相关用户尽快将Magento Commerce/Open Source升级到最新版本，做好资产自查工作，避免遭受不必要的损失。

漏洞描述

Magento是一套专业开源的电子商务系统。本次Adobe官方发布安全公告披露了的 CVE-2020-24407远程代码执行、CVE-2020-24400 SQL注入等多个漏洞。在具有管理特权的情况下，攻击者可构造恶意请求，绕过文件上传限制，从而造成远程代码执行，控制服务器。

l CVE-2020-24407: 代码执行漏洞

该漏洞源于应用程序使用 allow list 方法检查文件扩展名时未验证完整文件名，未经身份验证(需要有管理特权)的攻击者可以利用此漏洞绕过验证并上传恶意文件。

l CVE-2020-24400: SQL注入漏洞

攻击者可以利用它来攻击应用程序对其数据库进行的查询。未经身份验证(需要有管理特权)的攻击者可以利用此漏洞来获得对数据库的任意读取或写入访问权限。

风险等级

高危

影响版本

l Magento Commerce/Open Source <= 2.3.5-p2

l Magento Commerce/Open Source <= 2.4.0

l Magento Commerce/Open Source <= 2.3.5-p1

修复建议

升级至安全版本

1. Magento Commerce

2.4.0 升级到 2.4.1 版本；2.3.5 升级到 2.3.6 版本

2. Magento Open Source

2.4.0 升级到 2.4.1 版本；2.3.5 升级到 2.3.6 版本

参考链接

[1] https://helpx.adobe.com/security/products/magento/apsb20-59.html

[2] https://devdocs.magento.com/guides/v2.4/release-notes/commerce-2-4-1.html

[3] https://devdocs.magento.com/guides/v2.3/release-notes/commerce-2-3-6.html

[4] https://devdocs.magento.com/guides/v2.4/release-notes/open-source-2-4-1.html

[5] https://devdocs.magento.com/guides/v2.3/release-notes/open-source-2-3-6.html

北京金山云网络技术有限公司

2020/10/21