漏洞概述 在 版本中,存在以下安全漏洞: 1. Downgraded composer/composer (#5477) 2. Phar Deserialization (#5461) 3. Customer File Upload Extension Blocklist Bypass (#5460) 4. Cross-user wishlist item import (#5446) 5. Path Traversal Filter Bypass (#5445) 影响范围 这些漏洞可能影响使用 版本的用户,具体包括: Phar Deserialization:可能导致远程代码执行。 Customer File Upload Extension Blocklist Bypass:允许用户上传恶意文件。 Cross-user wishlist item import:可能导致用户数据泄露。 Path Traversal Filter Bypass:可能导致文件路径遍历攻击。 修复方案 1. Downgraded composer/composer (#5477) - 升级 到最新版本。 2. Phar Deserialization (#5461) - 检查并更新 相关代码,确保只处理可信的 文件。 3. Customer File Upload Extension Blocklist Bypass (#5460) - 更新文件上传扩展的黑名单,确保所有潜在恶意文件类型都被阻止。 4. Cross-user wishlist item import (#5446) - 加强用户身份验证,确保只有授权用户可以导入愿望单项目。 5. Path Traversal Filter Bypass (#5445) - 更新路径遍历过滤器,确保所有路径输入都经过严格验证。 POC代码或利用代码 页面中未提供具体的POC代码或利用代码。 总结 版本中存在多个安全漏洞,建议用户尽快采取上述修复措施,以确保系统的安全性。