资安业者Sansec针对Adobe本月发布的例行更新当中公布的重大漏洞CosmicSting（CVE-2024-34102）提出警告，这项资安弱点位于Adob​​e Commerce及Magento Open Source电商平台，继2年前Adobe修补CVE-2022-24086、CVE-2022-24087，Sansec认为，这是该平台出现最为严重的漏洞。

就漏洞本身带来的危害而言，CosmicSting可被攻击者用来读取含有密码等机密数据的文件，但研究人员指出，若是再结合Linux操作系统的GNU C程序库（glibc）的iconv功能漏洞CVE-2024-2961，攻击者就能发动远程代码运行（RCE）攻击，从而取得电商平台的完整控制权。

值得留意的是，由于利用这样漏洞的过程无需用户交互，攻击者可将相关流程自动化，很有可能演变为全球大规模攻击。

然而，在Adobe发布更新程序以来，仅有约25%电商网站套用，换言之，采用这种电商平台的环境恐有75%的比例，曝露于CosmicSting带来的资安风险。针对上述更新缓慢的原因，研究人员认为网站管理员不愿及时安装更新，主要在于Adobe自推出2.4.7版之后，因应支付卡产业数据安全标准（PCI DSS）的要求，导入了内容安全政策（Content Security Policy，CSP）及子资源完整性（Subresource Integrity，SRI）强制落实的要求，并移植到旧版分支，而使得新版软件有可能导致结帐流程采用的外部JavaScript脚本无法正常运作。

资安业者Sansec强调，攻击者可将CosmicSting与CVE-2024-2961搭配，造成强大的破坏力，但通报此事的研究人员Sergey Temnikov补充说明，在已修补iconv弱点的电商平台环境下，攻击者还是有机会借此存取管理者API。