远程主机上安装的 Adobe Commerce/Magento Open Source 版本属于以下范围之一 2.4.7 < 2.4.7-p1 (Adobe Commerce)/2.4.6 < 2.4.6-p6 (Adobe Commerce)/2.4.5 < 2.4.5-p8 (Adobe Commerce)/2.4.4 < 2.4.4-p9 (Adobe Commerce)/2.4.3 < 2.4.3-ext-8 (Adobe Commerce)/2.4.2 < 2.4.2-ext-8 (Adobe Commerce)/2.4.7 < 2.4.7-p1 (Magento Open Source)/2.4.6 < 2.4.6-p6 (Magento Open Source)/2.4.5 < 2.4.5-p8 (Magento Open Source) 以及 2.4.4 < 2.4.4-p9 (Magento Open Source) 

 因此，它受到 APSB24-40 公告中提及的多个漏洞影响。

  - Adobe Commerce 2.4.7、2.4.6-p5、2.4.5-p7、2.4.4-p8 以及更早版本受到服务器端请求伪造 (SSRF) 漏洞的影响，此漏洞可导致任意文件系统读取。经身份验证的低特权攻击者可通过注入任意 URL 强制应用程序发出任意请求。若要利用此问题，并不需要用户交互。(CVE-2024-34111)

  - Adobe Commerce 2.4.7、2.4.6-p5、2.4.5-p7、2.4.4-p8 和更早版本受到身份验证不当漏洞的影响，此漏洞可导致特权提升。攻击者可利用此漏洞在未经授权的情况下访问应用程序或提升在应用程序中的权限。利用此问题无需用户交互，并且攻击复杂度很高。(CVE-2024-34103)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Adobe Commerce/Magento Open Source 多个漏洞 (APSB24-40)

critical Nessus 插件 ID 242634

版本 1.4