今年6月Adobe修补电子商务平台Commerce及Magento Open Source的重大漏洞CVE-2024-34102，如今传出这项漏洞已被用于攻击行动的现象。

该漏洞发生的原因，在于XML外部实体参照的限制不当，而有可能导致任意代码运行。攻击者可发送参照外部实体的XML文件，从而触发漏洞，过程中完全无须用户交互，CVSS风险评分达到9.8。

上周三（7月18日）Adobe再度发布修补程序，并指出他们得知CVE-2024-34102已被用于攻击行动的情况。对此，该公司呼吁IT人员，无论是否套用6月份推出的修补程序，都应该尽速套用他们这次发布的更新软件，并且轮替加密密钥。

值得留意的是，美国网络安全暨基础设施安全局（CISA）也将CVE-2024-34102列入已被用于攻击行动的漏洞（KEV）名册，要求联邦机构必须在8月7日前完成修补。