未经身份验证的跨站点脚本漏洞与经过身份验证的Phar反序列化漏洞相结合,使较旧版本的Magento Commerce和Magento Open Source可供严重利用。攻击者可以利用这些漏洞将JavaScript注入Magento Admin,然后在商店用户的浏览器中启动恶意代码。我们强烈建议受影响的Magento版本的所有用户尽快下载并应用适当的补丁程序。
该问题影响以下Magento版本(在Prem和Cloud上):
Magento开源v2.3.1、2.3.0、2.2.8和更早的2.2.x版本
Magento Commerce v2.3.1、2.3.0、2.2.8和更早的2.2.x版本
Magento Commerce Cloud v2.3.1、2.3.0、2.2.8和更早的2.2.x版本