Magento XML注入漏洞分析:Widgets模块安全风险详解

本文详细分析了CVE-2021-36033漏洞,该漏洞影响Magento Commerce 2.4.2及更早版本,允许具有管理员权限的攻击者通过XML注入实现远程代码执行。

CVE-2021-36033:Magento XML注入漏洞分析

漏洞概述

Magento Commerce 2.4.2(及更早版本)、2.4.2-p1(及更早版本)和2.3.7(及更早版本)的Widgets模块中存在XML注入漏洞。具有管理员权限的攻击者可以触发特制脚本,实现远程代码执行。

受影响版本

magento/community-edition (Composer)

  • 受影响版本:
    • < 2.3.7-p1
    • = 2.3.7

    • = 2.4.2-p1, < 2.4.2-p2

    • = 2.4.2
  • 已修复版本:
    • 2.3.7-p1
    • 2.4.2-p2

magento/project-community-edition (Composer)

  • 受影响版本:<= 2.0.2
  • 已修复版本:无

技术细节

漏洞类型

  • CWE-91: XML注入(也称为盲XPath注入)
  • 产品未能正确中和XML中使用的特殊元素,允许攻击者在XML被终端系统处理之前修改其语法、内容或命令。

严重程度

  • 严重性等级: 严重(Critical)
  • EPSS评分: 11.326%(第93百分位)

参考链接

时间线

  • NVD发布: 2021年9月1日
  • GitHub咨询数据库发布: 2022年5月24日
  • 最后更新: 2025年11月6日

安全建议

建议使用受影响版本的用户立即升级到已修复的版本,以防止潜在的攻击利用。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次