資安業者Sansec針對Adobe本月發布的例行更新當中公佈的重大漏洞CosmicSting（CVE-2024-34102）提出警告，這項資安弱點位於Adob​​e Commerce及Magento Open Source電商平臺，繼2年前Adobe修補CVE-2022-24086、CVE-2022-24087，Sansec認為，這是該平臺出現最為嚴重的漏洞。

就漏洞本身帶來的危害而言，CosmicSting可被攻擊者用來讀取含有密碼等機密資料的檔案，但研究人員指出，若是再結合Linux作業系統的GNU C程式庫（glibc）的iconv功能漏洞CVE-2024-2961，攻擊者就能發動遠端程式碼執行（RCE）攻擊，從而取得電商平臺的完整控制權。

值得留意的是，由於利用這樣漏洞的過程無需使用者互動，攻擊者可將相關流程自動化，很有可能演變為全球大規模攻擊。

然而，在Adobe發布更新程式以來，僅有約25%電商網站套用，換言之，採用這種電商平臺的環境恐有75%的比例，曝露於CosmicSting帶來的資安風險。針對上述更新緩慢的原因，研究人員認為網站管理員不願及時安裝更新，主要在於Adobe自推出2.4.7版之後，因應支付卡產業資料安全標準（PCI DSS）的要求，導入了內容安全政策（Content Security Policy，CSP）及子資源完整性（Subresource Integrity，SRI）強制落實的要求，並移植到舊版分支，而使得新版軟體有可能導致結帳流程採用的外部JavaScript指令碼無法正常運作。

資安業者Sansec強調，攻擊者可將CosmicSting與CVE-2024-2961搭配，造成強大的破壞力，但通報此事的研究人員Sergey Temnikov補充說明，在已修補iconv弱點的電商平臺環境下，攻擊者還是有機會藉此存取管理者API。