CVE-2026-25525 in magento-lts
요약
\~에 의해 VulDB • 2026. 06. 02.
Magento Long Term Support(LTS)는 비공식 커뮤니티 주도 프로젝트로, 높은 수준의 하위 호환성을 갖춘 Magento 커뮤니티 에디션 전자상거래 플랫폼의 대안을 제공합니다. 버전 20.17.0 이전의 OpenMage LTS에서 Dataflow 모듈은 경로 순회 공격을 방지하기 위해 약한 블랙리스트 필터(`str_replace('../', '', $input)`)를 사용합니다. 이 필터는 `..././` 또는 `....//`와 같은 패턴을 사용하여 우회할 수 있으며, 치환 후에도 여전히 `../`가 생성됩니다. 인증된 관리자는 이를 악용하여 서버 파일 시스템의 임의 파일을 읽을 수 있습니다. 버전 20.17.0에서 해당 문제가 패치되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.