Adobe Magento是美国Adobe公司的一套开源的PHP电子商务系统。该系统提供权限管理、搜索引擎和支付网关等功能。

　　10月17日，Adobe为Magento已发布Magento Commerce和Magento Open Source 紧急安全更新，这些更新解决了被评为重要和严重的任意代码执行漏洞 。以下是漏洞详情：

　　漏洞详情

　　来源：

　　https://helpx.adobe.com/security/products/magento/apsb20-59.html

　　1.CVE-2020-24407 严重程度：危急

　　该漏洞主要是由于文件上传允许列表上传绕过引起的，成功利用此漏洞可导致任意代码执行。

　　2.CVE-2020-24400 严重程度：危急

　　该漏洞主要是SQL注入引起的，成功利用此漏洞可对数据库的任意读取或写入访问

　　3.CVE-2020-24402 严重程度：重要

　　该漏洞主要是授权不当引起的，未经授权修改客户清单

　　4.CVE-2020-24401 严重程度：重要

　　该漏洞主要是由于用户会话无效引起的，未经授权访问受限资源

　　5.CVE-2020-24404 严重程度：重要

　　该漏洞主要是授权不当引起的，未经授权修改Magento CMS页面

　　6.CVE-2020-24408 严重程度：重要

　　该漏洞主要是跨站点脚本(存储的XSS)引起的，成功利用此漏洞可导致浏览器中的任意JavaScript执行

　　7.CVE-2020-24405 严重程度：重要

　　该漏洞主要是由于授权不当引起的，未经授权访问受限资源

　　8.CVE-2020-24403 严重程度：重要

　　该漏洞主要是由于授权不当引起的，未经授权访问受限资源

　　9.CVE-2020-24406 严重程度：中等

　　该漏洞主要是由于文件根路径公开引起的，会导致敏感信息泄露

　　受影响的产品版本

　　所有平台：

　　Magento Commerce 2.3.5-p1和更早版本

　　Magento Commerce 2.3.5-p2和更早版本

　　Magento Commerce 2.4.0及更早版本

　　Magento Open Source 2.3.5-p1和更早版本

　　Magento Open Source 2.3.5-p2和更早版本

　　Magento Open Source 2.4.0及更早版本

　　解决方案

　　Magento Commerce 2.3.5及更早版本版本升级2.3.6可修复

　　Magento Commerce 2.4.0及更早版本版本升级2.4.1可修复

　　Magento Open Source 2.3.5及更早版本版本升级2.3.6可修复

　　Magento Open Source 2.4.0及更早版本版本升级2.4.1可修复

　　查看更多漏洞信息 以及升级请访问官网：

　　https://helpx.adobe.com/security.html