資安業者Sansec針對Adobe本月發布的例行更新當中公布的重大漏洞CosmicSting(CVE-2024-34102)提出警告,這項資安弱點位於Adobe Commerce及Magento Open Source電商平臺,繼2年前Adobe修補CVE-2022-24086、CVE-2022-24087,Sansec認為,這是該平臺出現最為嚴重的漏洞。
就漏洞本身帶來的危害而言,CosmicSting可被攻擊者用來讀取含有密碼等機密資料的檔案,但研究人員指出,若是再結合Linux作業系統的GNU C程式庫(glibc)的iconv功能漏洞CVE-2024-2961,攻擊者就能發動遠端程式碼執行(RCE)攻擊,從而取得電商平臺的完整控制權。
值得留意的是,由於利用這樣漏洞的過程無需使用者互動,攻擊者可將相關流程自動化,很有可能演變為全球大規模攻擊。
然而,在Adobe發布更新程式以來,僅有約25%電商網站套用,換言之,採用這種電商平臺的環境恐有75%的比例,曝露於CosmicSting帶來的資安風險。針對上述更新緩慢的原因,研究人員認為網站管理員不願及時安裝更新,主要在於Adobe自推出2.4.7版之後,因應支付卡產業資料安全標準(PCI DSS)的要求,導入了內容安全政策(Content Security Policy,CSP)及子資源完整性(Subresource Integrity,SRI)強制落實的要求,並移植到舊版分支,而使得新版軟體有可能導致結帳流程採用的外部JavaScript指令碼無法正常運作。
資安業者Sansec強調,攻擊者可將CosmicSting與CVE-2024-2961搭配,造成強大的破壞力,但通報此事的研究人員Sergey Temnikov補充說明,在已修補iconv弱點的電商平臺環境下,攻擊者還是有機會藉此存取管理者API。
熱門新聞
2024-12-24
2024-08-14
2024-12-22
2024-12-20
2024-12-23