Adobe修補內容管理平臺Experience Manager、電商網站平臺Magento漏洞

本週二（6月11日）Adobe針對旗下10款產品發布更新，總共修補166個漏洞，其中，大部分與內容管理平臺Experience Manager（AEM）有關，而這次他們對電商網站平臺Adobe Commerce及Magento Open Source發布的資安公告，重大層級漏洞的數量最多，也相當值得留意。

該公司本次針對AEM公布144個漏洞，影響AEM Cloud Service，以及自行管理的6.5.20以前版本，大部分漏洞為跨網站指令碼（XSS）漏洞，而有可能被用來執行任意程式碼。其中，最為嚴重的是安全功能繞過漏洞CVE-2024-26029，這項漏洞發生的原因為不適當的存取控制，CVSS風險評為7.5，被Adobe列為重大層級。

這次Adobe公布最多重大層級漏洞的應用系統，是電商網站平臺Adobe Commerce及Magento Open Source，他們總共修補了10個漏洞，其中有7個為重大層級。這些漏洞影響2.4.7版以下的Adobe Commerce、Magento Open Source，以及1.2.0至1.4.0版的Adobe Commerce Webhooks外掛程式。

在這些重大層級的電商網站平臺漏洞當中，主要與伺服器偽造請求（SSRF）、XML外部實體參照的限制不當、身分驗證不當、輸入驗證不當，以及未限制危險類型的檔案上傳，而有可能被用於執行任意程式碼、提升權限，或是繞過安全防護功能，CVSS風險評分介於8.5至8.0。

除了上述兩種網站系統的漏洞，Adobe也針對旗下的XML文件處理軟體FrameMaker，揭露與修補兩個漏洞，分別是：CVE-2024-30299、CVE-2024-30300，皆屬於伺服器權限提升類型的弱點，這兩個漏洞CVSS風險評為10分、9.8分，是本次最為危險的漏洞。