發布編號 ：OIS-CTI-2024-06-004

 情資來源 ：iThome

 事件類型 ：攻擊、漏洞警訊公告

 內容說明 ：

資安業者Sansec針對Adobe本月發布的例行更新當中公布的重大漏洞CosmicSting（CVE-2024-34102）提出警告，這項資安弱點位於Adobe Commerce及Magento Open Source電商平臺，繼2年前Adobe修補CVE-2022-24086、CVE-2022-24087，Sansec認為，這是該平臺出現最為嚴重的漏洞。

就漏洞本身帶來的危害而言，CosmicSting可被攻擊者用來讀取含有密碼等機密資料的檔案，但研究人員指出，若是再結合Linux作業系統的GNU C程式庫（glibc）的iconv功能漏洞CVE-2024-2961，攻擊者就能發動遠端程式碼執行（RCE）攻擊，從而取得電商平臺的完整控制權。

值得留意的是，由於利用這樣漏洞的過程無需使用者互動，攻擊者可將相關流程自動化，很有可能演變為全球大規模攻擊。

然而，在Adobe發布更新程式以來，僅有約25%電商網站套用，換言之，採用這種電商平臺的環境恐有75%的比例，曝露於CosmicSting帶來的資安風險。針對上述更新緩慢的原因，研究人員認為網站管理員不願及時安裝更新，主要在於Adobe自推出2.4.7版之後，因應支付卡產業資料安全標準（PCI DSS）的要求，導入了內容安全政策（Content Security Policy，CSP）及子資源完整性（Subresource Integrity，SRI）強制落實的要求，並移植到舊版分支，而使得新版軟體有可能導致結帳流程採用的外部JavaScript指令碼無法正常運作。

資安業者Sansec強調，攻擊者可將CosmicSting與CVE-2024-2961搭配，造成強大的破壞力，但通報此事的研究人員Sergey Temnikov補充說明，在已修補iconv弱點的電商平臺環境下，攻擊者還是有機會藉此存取管理者API。

影響平台 ：

•  Adobe Commerce 和 Magento Open Source

 建議措施 ：

• 建議儘速升級程式版本至新版本，避免版本受到此漏洞的影響。

以上內容供大家參考，詳細內容可點及下方連結進行查看，謝謝。

參考連結 ：

IThome 文章 :  https://www.ithome.com.tw/news/163623/ 

Adobe 最新程式版本說明連結:https://helpx.adobe.com/security/products/magento/apsb24-40.html