CosmicSting 漏洞影响 75% 的 Adobe Commerce 和 Magento 网站
影响 Adobe Commerce 和 Magento 网站的“CosmicSting”漏洞在安全更新发布九天后仍未得到修补,导致数百万个网站面临灾难性攻击。
根据 Sansec 的统计,使用受影响电子商务平台的网站中大约四分之三尚未修补 CosmicSting,这使它们面临 XML 外部实体注入 (XXE) 和远程代码执行 (RCE) 的风险。
Sansec 表示:“CosmicSting(又名 CVE-2024-34102)是两年来 Magento 和 Adobe Commerce 商店遭遇的最严重的漏洞” 。
“就其本身而言,它允许任何人读取私人文件(例如带有密码的文件)。然而,结合Linux 中最近的 iconv 错误,它变成了远程代码执行的安全噩梦。”
该漏洞被评为严重(CVSS 评分:9.8),影响以下产品版本:
- Adobe Commerce 2.4.7 及更早版本,包括 2.4.6-p5、2.4.5-p7、2.4.4-p8
- Adobe Commerce 扩展支持 2.4.3-ext-7 及更早版本、2.4.2-ext-7 及更早版本、2.4.1-ext-7 及更早版本、2.4.0-ext-7 及更早版本、2.3.7-p4-ext-7 及更早版本。
- Magento 开源 2.4.7 及更早版本,包括 2.4.6-p5、2.4.5-p7、2.4.4-p8
- Adobe Commerce Webhooks 插件版本 1.2.0 至 1.4.0
Sansec 表示,尽管 Adobe 在其公告中省略了技术细节以避免引发主动攻击,但可以从补丁代码中轻松推断出有效的攻击方法,其分析师使用该补丁代码重现了此次攻击。
基于其严重性和推断有效攻击路径的低复杂度,Sansec 估计,CosmicSting 将成为电子商务历史上最具破坏性的攻击之一,与“ Shoplift ”、“ Ambionics ”和“ Trojan Order ”齐名。
立即采取修复或缓解措施
该供应商发布了针对CVE-2024-34102的修复程序 ,版本如下,建议电商平台管理员尽快应用:
- Adobe Commerce 2.4.7-p1、2.4.6-p6、2.4.5-p8、2.4.4-p9
- Adobe Commerce 扩展支持 2.4.3-ext-8、2.4.2-ext-8、2.4.1-ext-8、2.4.0-ext-8、2.3.7-p4-ext-8
- Magento 开源 2.4.7-p1、2.4.6-p6、2.4.5-p8、2.4.4-p9
- Adobe Commerce Webhooks 插件版本 1.5.0
Sansec 建议网站管理员在升级之前切换到“仅报告”模式,以避免可能破坏结帐功能的问题。
对于目前无法升级的用户,建议采取以下两种措施:
首先,使用以下命令检查您的 Linux 系统是否正在使用易受 CVE-2024-2961 攻击的 glibc 库,并根据需要进行升级。以下命令将下载 C源代码文件,对其进行编译,然后在您的计算机上运行它以检测您是否易受攻击。
curl -sO https://sansec.io/downloads/cve-2024-2961.c &&
gcc cve-2024-2961.c -o poc &&
./poc接下来,您需要在‘app/bootstrap.php’上添加以下“紧急修复”代码来阻止大多数 CosmicSting 攻击。
if (strpos(file_get_contents('php://input'), 'dataIsURL') !== false) {
header('HTTP/1.1 503 Service Temporarily Unavailable');
header('Status: 503 Service Temporarily Unavailable');
exit;
}尚未测试此修复程序,无法保证其有效性或安全性,因此请自行承担风险。