今年6月Adobe修補電子商務平臺Commerce及Magento Open Source的重大漏洞CVE-2024-34102,如今傳出這項漏洞已被用於攻擊行動的現象。

該漏洞發生的原因,在於XML外部實體參照的限制不當,而有可能導致任意程式碼執行。攻擊者可發送參照外部實體的XML檔案,從而觸發漏洞,過程中完全無須使用者互動,CVSS風險評分達到9.8。

上週三(7月18日)Adobe再度發布修補程式,並指出他們得知CVE-2024-34102已被用於攻擊行動的情況。對此,該公司呼籲IT人員,無論是否套用6月份推出的修補程式,都應該儘速套用他們這次發布的更新軟體,並且輪替加密金鑰。

值得留意的是,美國網路安全暨基礎設施安全局(CISA)也將CVE-2024-34102列入已被用於攻擊行動的漏洞(KEV)名冊,要求聯邦機構必須在8月7日前完成修補。

熱門新聞

Advertisement