Magento estimate-shipping-methods XXE漏洞(CVE-2024-34102)

北京赛克艾威科技有限公司 2024-06-13

  • 漏洞编号:CVE-2024-34102
  • 漏洞等级:高危
  • 漏洞标签:暂无
  • 发布时间:2024-06-13

漏洞描述

Magento是一套专业开源的PHP电子商务系统。Magento设计得非常灵活,具有模块化架构体系和丰富的功能。易于与第三方应用系统无缝集成。2024年6月,Adobe官方披露CVE\-2024\-34102 Magento estimate\-shipping\-methods XXE漏洞,攻击者可在无需登陆的情况下构造恶意请求利用XXE读取文件,或者结合CVE\-2024\-2961 可能造成远程代码执行。

修复建议

参考https://helpx.adobe.com/security/products/magento/apsb24-40.html 升级至最新版本

参考链接

https://helpx.adobe.com/security/products/magento/apsb24-40.html

https://avd.aliyun.com/detail?id=AVD-2024-34102