Adobe Magento Open Source / Commerce versions 2.4.7 < 2.4.7-p1, 2.4.6 < 2.4.6-p6, 2.4.5 < 2.4.5-p8, 2.4.4 < 2.4.4-p9 and earlier suffer from an XML External Entity (XXE) vulnerability. By exploiting this vulnerability and crafting a malicious XML document, a remote and unauthenticated attacker could achieve Remote Code Execution (RCE) on the vulnerable Magento instance.

Adobe Magento Open Source / Commerce 版本 2.4.7 < 2.4.7-p1、2.4.6 < 2.4.6-p6、2.4.5 < 2.4.5-p8、2.4.4 < 2.4.4-p9 及更低版本受到 XML 外部实体 (XXE) 漏洞。通过利用此漏洞并构建恶意 XML 文档，未经认证的远程攻击者可在有漏洞的 Magento 实例上实现远程代码执行 (RCE)。

Adobe Magento Open Source / Commerce 2.4.7 < 2.4.7-p1、2.4.6 < 2.4.6-p6、2.4.5 < 2.4.5-p8、2.4.4 < 2.4.4-p9 和更舊版本受到 XML 外部實體 (XXE) 弱點影響。藉由惡意利用此弱點並特製惡意 XML 文件，未經驗證的遠端攻擊者可對有弱點的 Magento 執行個體發起遠端程式碼執行 (RCE) 攻擊。

Adobe Magento Open Source/Commerce バージョン 2.4.7 < 2.4.7-p1、2.4.6 < 2.4.6-p6、2.4.5 < 2.4.5-p8、2.4.4 < 2.4.4-p9 以前は、XML 外部エンティティ (XXE) の脆弱性が存在します。この脆弱性を悪用し、悪意のある XML ドキュメントを細工することで、認証されていないリモートの攻撃者が、脆弱な Magento インスタンスでリモートコード実行 (RCE) を行う可能性があります。

リモートウェブサーバー上で実行されている Magento アプリケーションは、ネストされたデシリアライゼーションによる XML データの不適切な解析が原因で、XML 外部エンティティインジェクション (XXE) の脆弱性の影響を受けます。認証されていないリモートの攻撃者は、HTTP 経由でこの脆弱性を悪用し、リモートホスト上で任意のコードを実行する可能性があります。

由于未正确解析带有嵌套反序列化的 XML 数据，远程 Web 服务器上运行的 Magento 应用程序受到 XML 外部实体注入 (XXE) 漏洞的影响。未经身份验证的远程攻击者可通过 HTTP 利用此漏洞在远程主机上执行任意代码。

The Magento application running on the remote web server is affected by an XML external entity injection (XXE) vulnerability due to improper parsing of XML data with nested deserialization. A remote, unauthenticated attacker can exploit this vulnerability, via HTTP, to execute arbitrary code on the remote host.

遠端 web 伺服器上執行的 Magento 應用程式受到一個 XML 外部實體插入 (XXE) 弱點影響，該弱點是因使用巢狀還原序列化不當剖析 XML 資料所導致。未經驗證的遠端攻擊者可透過 HTTP 利用此弱點，在遠端主機上執行任意程式碼。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
114325	Adobe Commerce / Magento XML External Entity Injection (CosmicSting)	Web App Scanning	Component Vulnerability	2024/6/26	2024/7/18	critical
114325	Adobe Commerce / Magento XML 外部实体注入 (CosmicSting)	Web App Scanning	Component Vulnerability	2024/6/26	2024/7/18	critical
114325	Adobe Commerce / Magento XML 外部實體插入 (CosmicSting)	Web App Scanning	Component Vulnerability	2024/6/26	2024/7/18	critical
114325	Adobe Commerce/Magento XML の外部エンティティインジェクション (CosmicSting)	Web App Scanning	Component Vulnerability	2024/6/26	2024/7/18	critical
206274	Magento XXE (CVE-2024-34102)	Nessus	CGI abuses	2024/8/28	2024/9/5	critical
206274	Magento XXE (CVE-2024-34102)	Nessus	CGI abuses	2024/8/28	2024/9/5	critical
206274	Magento XXE (CVE-2024-34102)	Nessus	CGI abuses	2024/8/28	2024/9/5	critical
206274	Magento XXE (CVE-2024-34102)	Nessus	CGI abuses	2024/8/28	2024/9/5	critical

検出

プラグインの検索

critical

critical

critical

critical

critical

critical

critical

critical