CVE-2026-25524 in magento-lts
요약
\~에 의해 VulDB • 2026. 06. 02.
Magento Long Term Support(LTS)는 비공식 커뮤니티 주도 프로젝트로, 높은 후방 호환성을 갖춘 Magento 커뮤니티 에디션 전자상거래 플랫폼의 대안을 제공합니다. 버전 20.17.0 이전에서는 `getimagesize()`, `file_exists()`, `is_readable()`와 같은 PHP 함수가 `phar://` 스트림 래퍼 경로를 처리할 때 역직렬화를 유발할 수 있습니다. OpenMage LTS는 이미지 유효성 검사 및 미디어 처리 과정에서 잠재적으로 제어 가능한 파일 경로와 함께 이러한 함수를 사용합니다. 악의적인 phar 파일(이미지로 위장됨)을 업로드하고 `phar://` 경로와 함께 이러한 함수 중 하나를 트리거할 수 있는 공격자는 임의 코드 실행을 달성할 수 있습니다. 버전 20.17.0에서 해당 문제가 패치되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.