电子商务平台管理员应尽快更新
据发掘出该错误的安全研究人员说,Adobe Magento中的超临界脆弱性可以使攻击者完全妥协电子商务平台。
Adobe敦促用户更新其系统以保护其网站免受滥用缺陷的影响,该缺陷已被分配了最大可能的严重性(CVSS)分数为10。beplay体育能用吗
跟踪为CVE-2022-35698, 这存储的跨站点脚本(XSS)错误可能导致任意代码执行,根据Adobe安全咨询于10月11日出版。
该缺陷会影响版本2.4.4-P1和早期以及2.4.5和更早的Adobe Commerce和Magento开源。这个问题已经修补在版本2.4.5-P1和2.4.4-P2中。
据估计267,000个活跃的电子商务网站beplay体育能用吗由Magento建造。
软件更新还解决了中等严重性,不适当访问控制可能会滥用以绕过安全功能的漏洞(CVE-2022-35689)。
“易于利用”
研究人员认为发现关键缺陷,”Blaklis', 告诉每日swbeplay2018官网ig:“这些缺陷基本上允许[攻击者]XSS管理区以非常特定的方式,使受害者非常容易通过正常的规则浏览触发它。这显然导致了令人讨厌的事情,包括全套商店妥协。所以...这解释了我猜分数。”
他们补充说:“据我所知,没有具体的先决条件来利用它,除了补丁以外,没有真正的缓解。
“缺陷非常容易利用,根本不需要身份验证。我通过查看它们的代码来找到该错误,就像我[NE]已经[NE]一样 - 我现在几年来知道他们的代码。”
Blaklis以前著名的Magento发现包括特权升级脆弱性在2月的Azure IoT CLI扩展中,每日swbeplay2018官网ig, 一个一对关键错误在2020年。
