Magento on 办公AI智能小助手

深入剖析Magento CVE-2025-54236远程代码执行漏洞及PoC利用

Thu, 01 Jan 2026 20:25:46 +0800

CVE-2025-54236：Magento会话收割者远程代码执行漏洞

项目概述

此GitHub仓库提供了针对CVE-2025-54236漏洞的概念验证（PoC）代码。该漏洞存在于Magento电商平台中，可能导致远程代码执行（RCE）。仓库包含多个利用脚本和辅助工具。

Magento API文件上传漏洞分析：CVE-2021-36042技术详解

Tue, 25 Nov 2025 22:58:52 +0800

漏洞详情

受影响版本

Magento Commerce

2.4.2及更早版本
2.4.2-p1及更早版本
2.3.7及更早版本

补丁版本

2.4.2-p2
2.3.7-p1

技术描述

Magento Commerce受影响版本在API文件选项上传扩展中存在不当输入验证漏洞。具有管理员权限的攻击者可以实现无限制文件上传，最终导致远程代码执行。

Magento dotmailer扩展中的盲SSRF漏洞分析

Tue, 25 Nov 2025 14:10:44 +0800

漏洞详情

受影响版本

composer magento/community-edition (Composer)

受影响版本：< 2.3.7-p1、= 2.3.7、>= 2.4.2-p1, < 2.4.2-p2、= 2.4.2
已修复版本：2.3.7-p1、2.4.2-p2

composer magento/project-community-edition (Composer)

Magento API文件上传漏洞分析：CVE-2021-36042技术详解

Mon, 24 Nov 2025 05:47:16 +0800

漏洞详情

受影响版本

composer magento/community-edition (Composer)

受影响版本：
- = 2.4.2
- = 2.4.2-p1, < 2.4.2-p2
- = 2.3.7
- < 2.3.7-p1
已修复版本：
- 2.4.2-p2
- 2.3.7-p1

composer magento/project-community-edition (Composer)

受影响版本：<= 2.0.2
已修复版本：无

漏洞描述

Magento Commerce版本2.4.2（及更早版本）、2.4.2-p1（及更早版本）和2.3.7（及更早版本）受到API文件选项上传扩展中不当输入验证漏洞的影响。具有管理员权限的攻击者可以实现无限制文件上传，从而导致远程代码执行。

Magento GraphQL字段引发的服务器端拒绝服务漏洞分析

Mon, 24 Nov 2025 00:57:44 +0800

Magento受GraphQL字段影响的服务器端拒绝服务漏洞

漏洞概述

CVE-2021-36044是一个影响Magento Commerce的高危漏洞，攻击者可以通过滥用GraphQL字段导致服务器端拒绝服务。

Magento dotmailer扩展中的盲SSRF漏洞分析

Thu, 20 Nov 2025 17:39:37 +0800

漏洞详情

Magento Commerce版本2.4.2（及更早版本）、2.4.2-p1（及更早版本）和2.3.7（及更早版本）中捆绑的dotmailer扩展存在盲SSRF漏洞。具有管理员权限的攻击者可利用此漏洞在启用Redis时实现远程代码执行。

Magento XML注入漏洞分析：Widgets模块安全风险详解

Sun, 09 Nov 2025 17:33:25 +0800

CVE-2021-36033：Magento XML注入漏洞分析

漏洞概述

Magento Commerce 2.4.2（及更早版本）、2.4.2-p1（及更早版本）和2.3.7（及更早版本）的Widgets模块中存在XML注入漏洞。具有管理员权限的攻击者可以触发特制脚本，实现远程代码执行。

Magento授权漏洞分析：CVE-2021-36029技术详解

Sun, 09 Nov 2025 12:11:03 +0800

漏洞详情

受影响版本

Magento Commerce

2.4.2及更早版本
2.4.2-p1及更早版本
2.3.7及更早版本

补丁版本

2.3.7-p1
2.4.2-p2

漏洞描述

Magento Commerce存在权限验证不当漏洞。拥有管理员权限的攻击者可利用此漏洞实现远程代码执行。

Magento XML注入漏洞分析：Widgets模块安全风险详解

Sun, 09 Nov 2025 05:06:44 +0800

Magento XML注入漏洞分析：Widgets模块安全风险

漏洞概述

CVE-2021-36033 是一个影响Magento Commerce的XML注入漏洞，存在于Widgets模块中。该漏洞被评定为严重级别。

Magento授权漏洞导致安全功能绕过分析

Mon, 03 Nov 2025 15:00:56 +0800

CVE-2025-43585：Magento授权不当导致安全功能绕过

漏洞详情

受影响版本

Magento/community-edition (Composer)

= 2.4.7-beta1, < 2.4.7-p6
= 2.4.6-p1, < 2.4.6-p11
< 2.4.5-p13
= 2.4.5
= 2.4.6
= 2.4.7
= 2.4.8

Magento/project-community-edition (Composer)

<= 2.0.2

已修复版本

2.4.7-p6
2.4.6-p11
2.4.5-p13

漏洞描述

Magento 2.4.8、2.4.7-p5、2.4.6-p10、2.4.5-p12、2.4.4-p13及更早版本存在授权不当漏洞，可能导致安全功能被绕过。攻击者可利用此漏洞绕过安全措施并获得未授权访问，对机密性造成有限影响，但对完整性造成高风险影响。利用此漏洞无需用户交互。

Magento身份验证安全功能绕过漏洞分析

Thu, 30 Oct 2025 21:34:26 +0800

漏洞详情

包信息

包管理器: Composer
受影响包:
- magento/community-edition
- magento/project-community-edition

受影响版本

magento/community-edition:

= 2.4.7-beta1, < 2.4.7-p6
= 2.4.6-p1, < 2.4.6-p11
< 2.4.5-p13
= 2.4.5
= 2.4.6
= 2.4.7
= 2.4.8

magento/project-community-edition:

<= 2.0.2

已修复版本

2.4.7-p6
2.4.6-p11
2.4.5-p13

漏洞描述

Magento版本2.4.8、2.4.7-p5、2.4.6-p10、2.4.5-p12、2.4.4-p13及更早版本受到不正确的授权漏洞影响，可能导致安全功能绕过。高权限攻击者可利用此漏洞绕过安全措施并获得有限的未授权访问。利用此漏洞不需要用户交互。

Magento访问控制漏洞导致安全功能绕过分析

Mon, 27 Oct 2025 09:15:46 +0800

Magento不当访问控制导致安全功能绕过 · CVE-2025-27206

漏洞详情

受影响版本

composer magento/community-edition (Composer)

= 2.4.7-beta1, < 2.4.7-p6
= 2.4.6-p1, < 2.4.6-p11
< 2.4.5-p13
= 2.4.5
= 2.4.6
= 2.4.7
= 2.4.8

composer magento/project-community-edition (Composer)

<= 2.0.2

已修复版本

2.4.7-p6
2.4.6-p11
2.4.5-p13

漏洞描述

Adobe Commerce版本2.4.8、2.4.7-p5、2.4.6-p10、2.4.5-p12、2.4.4-p13及更早版本受到不当访问控制漏洞的影响，可能导致安全功能被绕过。攻击者可利用此漏洞绕过安全措施并获得有限的写入权限。利用此漏洞不需要用户交互。

Magento授权漏洞导致安全功能绕过分析

Sat, 25 Oct 2025 07:35:42 +0800

Magento授权漏洞导致安全功能绕过

漏洞详情

包名称: composer/magento/community-edition (Composer)

受影响版本:

= 2.4.7-beta1, < 2.4.7-p6
= 2.4.6-p1, < 2.4.6-p11
< 2.4.5-p13
= 2.4.5
= 2.4.6
= 2.4.7
= 2.4.8

已修复版本:

2.4.7-p6
2.4.6-p11
2.4.5-p13

漏洞描述

Magento 2.4.8、2.4.7-p5、2.4.6-p10、2.4.5-p12、2.4.4-p13及更早版本受到授权不当漏洞的影响，可能导致安全功能被绕过。攻击者可利用此漏洞绕过安全措施并获得未授权访问，对机密性造成有限影响，但对完整性造成高风险影响。利用此漏洞不需要用户交互。

Magento认证安全功能绕过漏洞分析

Sat, 25 Oct 2025 02:53:48 +0800

Magento认证安全功能绕过漏洞分析

漏洞详情

包信息

包管理器: Composer
受影响包:
- magento/community-edition
- magento/project-community-edition

受影响版本

magento/community-edition:

= 2.4.7-beta1, < 2.4.7-p6
= 2.4.6-p1, < 2.4.6-p11
< 2.4.5-p13
= 2.4.5
= 2.4.6
= 2.4.7
= 2.4.8

magento/project-community-edition:

<= 2.0.2

已修复版本

2.4.7-p6
2.4.6-p11
2.4.5-p13

漏洞描述

Magento访问控制漏洞导致安全功能绕过分析

Fri, 24 Oct 2025 16:24:45 +0800

漏洞详情

受影响版本

Magento Community Edition (Composer)

= 2.4.7-beta1, < 2.4.7-p6
= 2.4.6-p1, < 2.4.6-p11
< 2.4.5-p13
= 2.4.5
= 2.4.6
= 2.4.7
= 2.4.8

Magento Project Community Edition (Composer)

<= 2.0.2

已修复版本

2.4.7-p6
2.4.6-p11
2.4.5-p13

漏洞描述

Magento授权漏洞导致安全功能绕过分析

Thu, 23 Oct 2025 19:06:45 +0800

Magento不当授权导致安全功能绕过 · CVE-2025-43585

漏洞详情

受影响版本

composer magento/community-edition (Composer)

= 2.4.7-beta1, < 2.4.7-p6
= 2.4.6-p1, < 2.4.6-p11
< 2.4.5-p13
= 2.4.5
= 2.4.6
= 2.4.7
= 2.4.8

composer magento/project-community-edition (Composer)

<= 2.0.2

已修复版本

2.4.7-p6
2.4.6-p11
2.4.5-p13

漏洞描述

Magento 2.4.8、2.4.7-p5、2.4.6-p10、2.4.5-p12、2.4.4-p13及更早版本受到不当授权漏洞的影响，可能导致安全功能被绕过。攻击者可利用此漏洞绕过安全措施并获得未授权访问权限，对机密性造成有限影响，但对完整性造成高风险影响。利用此漏洞不需要用户交互。

Magento认证安全功能绕过漏洞分析

Thu, 23 Oct 2025 18:47:39 +0800

Magento认证安全功能绕过漏洞分析

漏洞详情

CVE ID: CVE-2025-49549

漏洞类型: 不正确的授权

严重程度: 低危

CVSS评分: 2.7/10

受影响版本

magento/community-edition (Composer)

受影响版本:

= 2.4.7-beta1, < 2.4.7-p6
= 2.4.6-p1, < 2.4.6-p11
< 2.4.5-p13
= 2.4.5
= 2.4.6
= 2.4.7
= 2.4.8

已修复版本:

2.4.7-p6
2.4.6-p11
2.4.5-p13

magento/project-community-edition (Composer)

受影响版本: <= 2.0.2

Magento访问控制漏洞导致安全功能绕过分析

Thu, 23 Oct 2025 17:52:03 +0800

CVE-2025-27206：Magento不当访问控制导致安全功能绕过

漏洞详情

受影响版本

Magento社区版（Composer包）

= 2.4.7-beta1, < 2.4.7-p6
= 2.4.6-p1, < 2.4.6-p11
< 2.4.5-p13
= 2.4.5
= 2.4.6
= 2.4.7
= 2.4.8

Magento项目社区版（Composer包）

<= 2.0.2

已修复版本

2.4.7-p6
2.4.6-p11
2.4.5-p13