CVE-2024-34102|Уязвимость Magento с открытым исходным кодом XXE (POC)
0x00 Предисловие
Magento Open Source — это мощная платформа электронной коммерции с открытым исходным кодом, созданная на базе Adobe, которая предоставляет разработчикам и продавцам основополагающую основу для создания уникальных интернет-магазинов. Хотя Adobe Commerce является более широким выбором для пользователей, ищущих комплексное решение для электронной коммерции, Magento Open Source все же может удовлетворить многие основные потребности электронной коммерции благодаря своей гибкости и масштабируемости.
0x01 Описание уязвимости
Неправильные ограничения на ссылки на внешние объекты XML существуют во многих уязвимых версиях Adobe Commerce и Magento Open Source. Неаутентифицированный злоумышленник может воспользоваться этой уязвимостью, отправив вредоносные XML-документы, ссылающиеся на внешние объекты. Успешная эксплуатация может привести к выполнению произвольного кода.
0x02 номер CVE
CVE-2024-34102
0x03 затронутая версия
Затронутые продукты | Затронутые версии (все платформы) |
|---|---|
Adobe Commerce | 2.4.7 и предыдущие версии 2.4.6-p5 и предыдущие версии 2.4.5-p7 и предыдущие версии 2.4.4-p8 и предыдущие версии 2.4.3-ext-7 и предыдущие версии 2.4.2-ext-7 и предыдущие версии 2.4.1-ext-7 и предыдущие версии 2.4.0-ext-7 и предыдущие версии 2.3.7-p4-ext-7 и предыдущие версии |
Magento Open Source | 2.4.7 и предыдущие версии 2.4.6-p5 и предыдущие версии 2.4.5-p7 и предыдущие версии 2.4.4-p8 и предыдущие версии |
0x04 Подробности об уязвимости
https://github.com/spacewasp/public_docs/blob/main/CVE-2024-34102.md
ссылка на ссылку 0x05
https://github.com/spacewasp/public_docs/blob/main/CVE-2024-34102.md
https://helpx.adobe.com/security/products/magento/apsb24-40.html
https://nvd.nist.gov/vuln/detail/CVE-2024-34102
Неразрушающее увеличение изображений одним щелчком мыши, чтобы сделать их более четкими артефактами искусственного интеллекта, включая руководства по установке и использованию.
Копикодер: этот инструмент отлично работает с Cursor, Bolt и V0! Предоставьте более качественные подсказки для разработки интерфейса (создание навигационного веб-сайта с использованием искусственного интеллекта).
Новый бесплатный RooCline превосходит Cline v3.1? ! Быстрее, умнее и лучше вилка Cline! (Независимое программирование AI, порог 0)
Разработав более 10 проектов с помощью Cursor, я собрал 10 примеров и 60 подсказок.
Я потратил 72 часа на изучение курсорных агентов, и вот неоспоримые факты, которыми я должен поделиться!
Идеальная интеграция Cursor и DeepSeek API
DeepSeek V3 снижает затраты на обучение больших моделей
Артефакт, увеличивающий количество очков: на основе улучшения характеристик препятствия малым целям Yolov8 (SEAM, MultiSEAM).
DeepSeek V3 раскручивался уже три дня. Сегодня я попробовал самопровозглашенную модель «ChatGPT».
Open Devin — инженер-программист искусственного интеллекта с открытым исходным кодом, который меньше программирует и больше создает.
Эксклюзивное оригинальное улучшение YOLOv8: собственная разработка SPPF | SPPF сочетается с воспринимаемой большой сверткой ядра UniRepLK, а свертка с большим ядром + без расширения улучшает восприимчивое поле
Популярное и подробное объяснение DeepSeek-V3: от его появления до преимуществ и сравнения с GPT-4o.
9 основных словесных инструкций по доработке академических работ с помощью ChatGPT, эффективных и практичных, которые стоит собрать
Вызовите deepseek в vscode для реализации программирования с помощью искусственного интеллекта.
Познакомьтесь с принципами сверточных нейронных сетей (CNN) в одной статье (суперподробно)
50,3 тыс. звезд! Immich: автономное решение для резервного копирования фотографий и видео, которое экономит деньги и избавляет от беспокойства.
Cloud Native|Практика: установка Dashbaord для K8s, графика неплохая
Краткий обзор статьи — использование синтетических данных при обучении больших моделей и оптимизации производительности
MiniPerplx: новая поисковая система искусственного интеллекта с открытым исходным кодом, спонсируемая xAI и Vercel.
Конструкция сервиса Synology Drive сочетает проникновение в интрасеть и синхронизацию папок заметок Obsidian в облаке.
Центр конфигурации————Накос
Начинаем с нуля при разработке в облаке Copilot: начать разработку с минимальным использованием кода стало проще
[Серия Docker] Docker создает мультиплатформенные образы: практика архитектуры Arm64
Обновление новых возможностей coze | Я использовал coze для создания апплета помощника по исправлению домашних заданий по математике
Советы по развертыванию Nginx: практическое создание статических веб-сайтов на облачных серверах
Feiniu fnos использует Docker для развертывания личного блокнота Notepad
Сверточная нейронная сеть VGG реализует классификацию изображений Cifar10 — практический опыт Pytorch
Начало работы с EdgeonePages — новым недорогим решением для хостинга веб-сайтов
[Зона легкого облачного игрового сервера] Управление игровыми архивами
