阿里云漏洞库

通过 POST /admin/customersegment/index/save/key/{key}/back/edit 产品属性中的客户细分规则配置进行基于时间的盲 SQL 注入 (CVE-2023-38221)

CVE编号

CVE-2023-38221

利用情况

暂无

补丁情况

N/A

披露时间

2023-07-13

漏洞描述

Adobe Commerce 版本 2.4.7-beta1（及之前版本）、2.4.6-p2（及之前版本）、2.4.5-p4（及之前版本）和 2.4.4-p5（及之前版本）受到 SQL 注入漏洞（'SQL Injection'）的影响，可导致管理员权限的身份认证攻击者执行任意代码。利用此漏洞不需要用户交互，攻击复杂性较高，需要熟悉 UI 以外的工具使用知识。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://helpx.adobe.com/security/products/magento/apsb23-50.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	adobe	commerce	2.3.7	-
	运行在以下环境
	应用	adobe	commerce	2.4.0	-
	运行在以下环境
	应用	adobe	commerce	2.4.1	-
	运行在以下环境
	应用	adobe	commerce	2.4.2	-
	运行在以下环境
	应用	adobe	commerce	2.4.3	-
	运行在以下环境
	应用	adobe	commerce	2.4.4	-
	运行在以下环境
	应用	adobe	commerce	2.4.5	-
	运行在以下环境
	应用	adobe	commerce	2.4.6	-
	运行在以下环境
	应用	adobe	commerce	2.4.7	-
	运行在以下环境
	应用	adobe	magento	2.4.4	-
	运行在以下环境
	应用	adobe	magento	2.4.5	-
	运行在以下环境
	应用	adobe	magento	2.4.6	-
	运行在以下环境
	应用	adobe	magento	2.4.7	-

攻击路径

网络
攻击复杂度

高
权限要求

高
影响范围

已更改
用户交互

无
可用性

高
保密性

高
完整性

高

CWE-ID	漏洞类型
CWE-89	SQL命令中使用的特殊元素转义处理不恰当（SQL注入）

通过 POST /admin/customersegment/index/save/key/{key}/back/edit 产品属性中的客户细分规则配置进行基于时间的盲 SQL 注入 (CVE-2023-38221)

漏洞描述

解决建议

参考链接

受影响软件情况