本週二(6月11日)Adobe針對旗下10款產品發布更新,總共修補166個漏洞,其中,大部分與內容管理平臺Experience Manager(AEM)有關,而這次他們對電商網站平臺Adobe Commerce及Magento Open Source發布的資安公告,重大層級漏洞的數量最多,也相當值得留意。

該公司本次針對AEM公布144個漏洞,影響AEM Cloud Service,以及自行管理的6.5.20以前版本,大部分漏洞為跨網站指令碼(XSS)漏洞,而有可能被用來執行任意程式碼。其中,最為嚴重的是安全功能繞過漏洞CVE-2024-26029,這項漏洞發生的原因為不適當的存取控制,CVSS風險評為7.5,被Adobe列為重大層級。

這次Adobe公布最多重大層級漏洞的應用系統,是電商網站平臺Adobe Commerce及Magento Open Source,他們總共修補了10個漏洞,其中有7個為重大層級。這些漏洞影響2.4.7版以下的Adobe Commerce、Magento Open Source,以及1.2.0至1.4.0版的Adobe Commerce Webhooks外掛程式。

在這些重大層級的電商網站平臺漏洞當中,主要與伺服器偽造請求(SSRF)、XML外部實體參照的限制不當、身分驗證不當、輸入驗證不當,以及未限制危險類型的檔案上傳,而有可能被用於執行任意程式碼、提升權限,或是繞過安全防護功能,CVSS風險評分介於9.8至8.0。

除了上述兩種網站系統的漏洞,Adobe也針對旗下的XML文件處理軟體FrameMaker,揭露與修補兩個漏洞,分別是:CVE-2024-30299、CVE-2024-30300,皆屬於伺服器權限提升類型的弱點,這兩個漏洞CVSS風險評為10分、9.8分,是本次最為危險的漏洞。

熱門新聞

Advertisement