Magento 漏洞补丁被供应商绕过

Adobe Commerce与Magento的安全漏洞再度升级

关键要点

Sansec的研究人员发现，针对Adobe Commerce和Magento中的关键邮件模板漏洞CVE202224086的修复措施，正被一些代理商和扩展供应商有意绕过。根据SecurityWeek的报道，攻击者几乎在首次发布补丁后仅一周，就利用该漏洞进行了任意代码执行。

在首次补丁轻易被威胁演员规避后，Adobe也随之推出了另一轮修复。这些修复措施包括移除“智能”邮件模板，并用旧的邮件模板变量解析器进行替换，以避免注入攻击。然而，Sansec指出，一些供应商却被发现恢复了旧的功能，尽管已更新补丁，但仍然暴露于这一关键漏洞之中。此外，一些供应商还将已淘汰的解析器功能重新引入生产中的Magento商店。“我们在多个代理机构和扩展供应商中观察到这种高风险的行为，可能是为了避免更新其邮件模板以适配新的解析器，”研究人员补充道。

结论： 此次事件突显了在安全修复中遵循最佳实践的重要性，尤其是在复杂的电子商务环境中，各方都应对新漏洞保持警惕，确保及时更新和维护系统。

同时，维护网络安全不仅仅是技术问题，还需要各界共同努力提升意识，确保大家能够安全地使用在线平台。更多信息，可以查看 Sansec的研究报告。