Adobe Magento Open Source / Commerce versions 2.4.7 < 2.4.7-p1, 2.4.6 < 2.4.6-p6, 2.4.5 < 2.4.5-p8, 2.4.4 < 2.4.4-p9 and earlier suffer from an XML External Entity (XXE) vulnerability. By exploiting this vulnerability and crafting a malicious XML document, a remote and unauthenticated attacker could achieve Remote Code Execution (RCE) on the vulnerable Magento instance.

Adobe Magento Open Source/Commerce バージョン 2.4.7 < 2.4.7-p1、2.4.6 < 2.4.6-p6、2.4.5 < 2.4.5-p8、2.4.4 < 2.4.4-p9 以前は、XML 外部エンティティ (XXE) の脆弱性が存在します。この脆弱性を悪用し、悪意のある XML ドキュメントを細工することで、認証されていないリモートの攻撃者が、脆弱な Magento インスタンスでリモートコード実行 (RCE) を行う可能性があります。

Adobe Magento Open Source / Commerce 2.4.7 < 2.4.7-p1、2.4.6 < 2.4.6-p6、2.4.5 < 2.4.5-p8、2.4.4 < 2.4.4-p9 和更舊版本受到 XML 外部實體 (XXE) 弱點影響。藉由惡意利用此弱點並特製惡意 XML 文件，未經驗證的遠端攻擊者可對有弱點的 Magento 執行個體發起遠端程式碼執行 (RCE) 攻擊。

Adobe Magento Open Source / Commerce 版本 2.4.7 < 2.4.7-p1、2.4.6 < 2.4.6-p6、2.4.5 < 2.4.5-p8、2.4.4 < 2.4.4-p9 及更低版本受到 XML 外部实体 (XXE) 漏洞。通过利用此漏洞并构建恶意 XML 文档，未经认证的远程攻击者可在有漏洞的 Magento 实例上实现远程代码执行 (RCE)。

The version of Adobe Commerce/Magento Open Source installed on the remote host falls within one of the following ranges   2.4.7 < 2.4.7-p1 (Adobe Commerce) / 2.4.6 < 2.4.6-p6 (Adobe Commerce) / 2.4.5 < 2.4.5-p8 (Adobe Commerce)   / 2.4.4 < 2.4.4-p9 (Adobe Commerce) / 2.4.3 < 2.4.3-ext-8 (Adobe Commerce) / 2.4.2 < 2.4.2-ext-8 (Adobe Commerce) /   2.4.7 < 2.4.7-p1 (Magento Open Source) / 2.4.6 < 2.4.6-p6 (Magento Open Source) / 2.4.5 < 2.4.5-p8 (Magento Open Source)   and  2.4.4 < 2.4.4-p9 (Magento Open Source) 

 It is, therefore, affected by a XXE vulnerability as referenced in the APSB24-40 advisory.

  - Adobe Commerce versions 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 and earlier are affected by an Improper Restriction of     XML External Entity Reference ('XXE') vulnerability that could result in arbitrary code execution. An attacker     could exploit this vulnerability by sending a crafted XML document that references external entities. Exploitation     of this issue does not require user interaction. (CVE-2024-34102)

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

The Magento application running on the remote web server is affected by an XML external entity injection (XXE) vulnerability due to improper parsing of XML data with nested deserialization. A remote, unauthenticated attacker can exploit this vulnerability, via HTTP, to execute arbitrary code on the remote host.

遠端主機上安裝的 Adobe Commerce/Magento Open Source 版本屬於下列任一範圍 2.4.7 < 2.4.7-p1 (Adobe Commerce) / 2.4.6 < 2.4.6-p6 (Adobe Commerce) / 2.4.5 < 2.4.5-p8 (Adobe Commerce) / 2.4.4 < 2.4.4-p9 (Adobe Commerce) / 2.4.3 < 2.4.3-ext-8 (Adobe Commerce) / 2.4.2 < 2.4.2-ext-8 (Adobe Commerce) / 2.4.7 < 2.4.7-p1 (Magento Open Source) / 2.4.6 < 2.4.6-p6 (Magento Open Source) / 2.4.5 < 2.4.5-p8 (Magento Open Source) 和 2.4.4 < 2.4.4-p9 (Magento Open Source) 

 因此，它受到 APSB24-40 公告中提及的 XXE 弱點影響。

  - Adobe Commerce 2.4.7、2.4.6-p5、2.4.5-p7、2.4.4-p8 和更舊版本受到 XML 外部實體參照 ('XXE') 不當限制弱點所影響，可能會導致任意程式碼執行。攻擊者可藉由傳送參照外部實體的特製 XML 文件來刺探利用此弱點。無需進行使用者互動，也可惡意利用此問題。(CVE-2024-34102)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

リモートホストにインストールされているAdobe Commerce/Magento Open Source のバージョンは、以下のいずれかに該当します 2.4.7 < 2.4.7-p1 (Adobe Commerce) / 2.4.6 < 2.4.6-p6 (Adobe Commerce) / 2.4.5 < 2.4.5-p8 (Adobe Commerce) / 2.4.4 < 2.4.4-p9 (Adobe Commerce) / 2.4.3 < 2.4.3-ext-8 (Adobe Commerce) / 2.4.2 < 2.4.2-ext-8 (Adobe Commerce) / 2.4.7 < 2.4.7-p1 (Magento Open Source) / 2.4.6 < 2.4.6-p6 (Magento Open Source) / 2.4.5 < 2.4.5-p8 (Magento Open Source) および 2.4.4 < 2.4.4-p9 (Magento Open Source) 

 したがって、APSB24-40 のアドバイザリに記載されている XXE の脆弱性の影響を受けます。

  - Acrobat Commerce バージョン 2.4.7、2.4.6-p5、2.4.5-p7、2.4.4-p8 以前は、XML 外部エンティティ参照 (「XXE」) の不適切な制限の脆弱性の影響を受け、任意コード実行に至る可能性があります。攻撃者がこの脆弱性を悪用して、外部エンティティを参照する細工された XML ドキュメントを送信する可能性があります。この問題を悪用するにはユーザーの操作が必要です。(CVE-2024-34102)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

遠端 web 伺服器上執行的 Magento 應用程式受到一個 XML 外部實體插入 (XXE) 弱點影響，該弱點是因使用巢狀還原序列化不當剖析 XML 資料所導致。未經驗證的遠端攻擊者可透過 HTTP 利用此弱點，在遠端主機上執行任意程式碼。

远程主机上安装的 Adobe Commerce/Magento Open Source 版本属于以下范围之一 2.4.7 < 2.4.7-p1 (Adobe Commerce)/2.4.6 < 2.4.6-p6 (Adobe Commerce)/2.4.5 < 2.4.5-p8 (Adobe Commerce)/2.4.4 < 2.4.4-p9 (Adobe Commerce)/2.4.3 < 2.4.3-ext-8 (Adobe Commerce)/2.4.2 < 2.4.2-ext-8 (Adobe Commerce)/2.4.7 < 2.4.7-p1 (Magento Open Source)/2.4.6 < 2.4.6-p6 (Magento Open Source)/2.4.5 < 2.4.5-p8 (Magento Open Source) 以及 2.4.4 < 2.4.4-p9 (Magento Open Source) 

 因此，它受到 APSB24-40 公告中提及的 XXE 漏洞影响。

  - Adobe Commerce 2.4.7、2.4.6-p5、2.4.5-p7、2.4.4-p8 以及更早版本受到 XML External Entity Reference ('XXE') 的不当限制漏洞的影响，此漏洞可导致任意代码执行。攻击者可通过发送引用外部实体的构建的 XML 文档来利用此漏洞。若要利用此问题，并不需要用户交互。(CVE-2024-34102)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

リモートウェブサーバー上で実行されている Magento アプリケーションは、ネストされたデシリアライゼーションによる XML データの不適切な解析が原因で、XML 外部エンティティインジェクション (XXE) の脆弱性の影響を受けます。認証されていないリモートの攻撃者は、HTTP 経由でこの脆弱性を悪用し、リモートホスト上で任意のコードを実行する可能性があります。

由于未正确解析带有嵌套反序列化的 XML 数据，远程 Web 服务器上运行的 Magento 应用程序受到 XML 外部实体注入 (XXE) 漏洞的影响。未经身份验证的远程攻击者可通过 HTTP 利用此漏洞在远程主机上执行任意代码。

ID	Name	Product	Family	Published	Updated	Severity
114325	Adobe Commerce / Magento XML External Entity Injection (CosmicSting)	Web App Scanning	Component Vulnerability	6/26/2024	7/18/2024	critical
114325	Adobe Commerce/Magento XML の外部エンティティインジェクション (CosmicSting)	Web App Scanning	Component Vulnerability	6/26/2024	7/18/2024	critical
114325	Adobe Commerce / Magento XML 外部實體插入 (CosmicSting)	Web App Scanning	Component Vulnerability	6/26/2024	7/18/2024	critical
114325	Adobe Commerce / Magento XML 外部实体注入 (CosmicSting)	Web App Scanning	Component Vulnerability	6/26/2024	7/18/2024	critical
255220	Adobe Commerce/Magento XXE Vulnerability (APSB24-40)	Nessus	Misc.	8/26/2025	8/26/2025	critical
206274	Magento XXE (CVE-2024-34102)	Nessus	CGI abuses	8/28/2024	10/10/2025	critical
255220	Adobe Commerce/Magento XXE 弱點 (APSB24-40)	Nessus	Misc.	8/26/2025	8/26/2025	critical
255220	Adobe Commerce/Magento の XXE の脆弱性 (APSB24-40)	Nessus	Misc.	8/26/2025	8/26/2025	critical
206274	Magento XXE (CVE-2024-34102)	Nessus	CGI abuses	8/28/2024	10/10/2025	critical
255220	Adobe Commerce/Magento XXE 漏洞 (APSB24-40)	Nessus	Misc.	8/26/2025	8/26/2025	critical
206274	Magento XXE (CVE-2024-34102)	Nessus	CGI abuses	8/28/2024	10/10/2025	critical
206274	Magento XXE (CVE-2024-34102)	Nessus	CGI abuses	8/28/2024	10/10/2025	critical

Detections

Analytics

Plugins Search

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical