Magento受GraphQL字段影响的服务器端拒绝服务漏洞

漏洞概述

CVE-2021-36044是一个影响Magento Commerce的高危漏洞，攻击者可以通过滥用GraphQL字段导致服务器端拒绝服务。

受影响版本

magento/community-edition (Composer)

• 等于2.4.2版本
• 大于等于2.4.2-p1且小于2.4.2-p2版本
• 等于2.3.7版本
• 小于2.3.7-p1版本

magento/project-community-edition (Composer)

• 小于等于2.0.2版本

漏洞详情

Magento Commerce以下版本受到不当输入验证漏洞的影响：

• 2.4.2及更早版本
• 2.4.2-p1及更早版本
• 2.3.7及更早版本

未经身份验证的攻击者可以利用此漏洞，通过GraphQL字段导致服务器端拒绝服务。

修复版本

• 2.4.2-p2
• 2.3.7-p1

技术特征

CVSS v3评分：7.5（高危）

基础指标：

• 攻击向量：网络（Network）
• 攻击复杂度：低（Low）
• 所需权限：无（None）
• 用户交互：无（None）
• 范围：未改变（Unchanged）
• 机密性影响：无（None）
• 完整性影响：无（None）
• 可用性影响：高（High）

弱点分类

• CWE-20：不当输入验证
• 产品接收输入或数据，但未验证或错误验证输入是否具有安全正确处理数据所需的属性。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2021-36044
• https://helpx.adobe.com/security/products/magento/apsb21-64.html

安全建议

建议用户及时升级到已修复的版本，以避免遭受拒绝服务攻击。