Magento访问控制漏洞导致安全功能绕过分析

本文详细分析了CVE-2025-27206漏洞,该漏洞影响Adobe Commerce多个版本,由于不当的访问控制机制导致攻击者能够绕过安全功能获得有限的写入权限,无需用户交互即可利用。

CVE-2025-27206:Magento不当访问控制导致安全功能绕过

漏洞详情

受影响版本

Magento社区版(Composer包)

  • = 2.4.7-beta1, < 2.4.7-p6

  • = 2.4.6-p1, < 2.4.6-p11

  • < 2.4.5-p13
  • = 2.4.5
  • = 2.4.6
  • = 2.4.7
  • = 2.4.8

Magento项目社区版(Composer包)

  • <= 2.0.2

已修复版本

  • 2.4.7-p6
  • 2.4.6-p11
  • 2.4.5-p13

漏洞描述

Adobe Commerce版本2.4.8、2.4.7-p5、2.4.6-p10、2.4.5-p12、2.4.4-p13及更早版本受到不当访问控制漏洞的影响,可能导致安全功能被绕过。攻击者可利用此漏洞绕过安全措施并获得有限的写入权限。利用此漏洞不需要用户交互。

技术特征

CVSS v3.1评分

基础分数:5.3(中危)

基础指标

  • 攻击向量:网络(AV:N)
  • 攻击复杂度:低(AC:L)
  • 所需权限:无(PR:N)
  • 用户交互:无(UI:N)
  • 影响范围:未改变(S:U)
  • 机密性影响:无(C:N)
  • 完整性影响:低(I:L)
  • 可用性影响:无(A:N)

弱点分类

  • CWE-ID:CWE-284
  • 弱点类型:不当访问控制
  • 描述:产品未限制或错误限制未经授权参与者对资源的访问

参考信息

安全建议

建议用户及时升级到已修复的版本,以避免潜在的安全风险。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次