CVE-2024-34102|Magento Open Source XXE漏洞(POC)
CVE-2024-34102|Magento Open Source XXE漏洞(POC)
0x00 前言
Magento Open Source 是一款由 Adobe 支持的强大的开源电子商务平台,它为开发者和商家提供了一个构建独特在线商店的基础框架。虽然对于寻求全方位电商解决方案的用户,Adobe Commerce是更全面的选择,但Magento Open Source以其灵活性和可扩展性,依然能够满足许多基本的电子商务需求。
0x01 漏洞描述
Adobe Commerce和Magento Open Sourc多个受影响版本中存在XML外部实体引用限制不当,未经身份验证的威胁者可发送引用外部实体的恶意设计的 XML文档来利用该漏洞,成功利用可能导致任意代码执行。
0x02 CVE编号
CVE-2024-34102
0x03 影响版本
受影响产品 | 受影响版本(所有平台) |
|---|---|
Adobe Commerce | 2.4.7 及之前版本2.4.6-p5 及之前版本2.4.5-p7 及之前版本2.4.4-p8 及之前版本2.4.3-ext-7 及之前版本2.4.2-ext-7 及之前版本2.4.1-ext-7 及之前版本2.4.0-ext-7 及之前版本2.3.7-p4-ext-7 及之前版本 |
Magento Open Source | 2.4.7及之前版本2.4.6-p5及之前版本2.4.5-p7及之前版本2.4.4-p8及之前版本 |
0x04 漏洞详情
https://github.com/spacewasp/public_docs/blob/main/CVE-2024-34102.md
0x05 参考链接
https://github.com/spacewasp/public_docs/blob/main/CVE-2024-34102.md
https://helpx.adobe.com/security/products/magento/apsb24-40.html
https://nvd.nist.gov/vuln/detail/CVE-2024-34102