资安业者Sansec针对
就漏洞本身带来的危害而言,CosmicSting可被攻击者用来读取含有密码等机密资料的档案,但研究人员指出,若是再结合Linux作业系统的GNU C程式库(glibc)的iconv功能漏洞CVE-2024-2961,攻击者就能发动远端程式码执行(RCE)攻击,从而取得电商平台的完整控制权。 值得留意的是,由于利用这样漏洞的过程无需使用者互动,攻击者可将相关流程自动化,很有可能演变为全球大规模攻击。 然而,在Adobe发布更新程式以来,仅有约25%电商网站套用,换言之,采用这种电商平台的环境恐有75%的比例,曝露于CosmicSting带来的资安风险。针对上述更新缓慢的原因,研究人员认为网站管理员不愿及时安装更新,主要在于Adobe自推出2.4.7版之后,因应支付卡产业资料安全标准(PCI DSS)的要求,导入了内容安全政策(Content Security Policy,CSP)及子资源完整性(Subresource Integrity,SRI)强制落实的要求,并移植到旧版分支,而使得新版软体有可能导致结帐流程采用的外部JavaScript指令码无法正常运作。 资安业者Sansec强调,攻击者可将CosmicSting与CVE-2024-2961搭配,造成强大的破坏力,但通报此事的