Boletim de segurança da Adobe

Atualização de segurança disponível para o Adobe Commerce | APSB24-40

ID do boletim

Data de publicação

Prioridade

APSB24-40

11 de junho de 2024

1

Resumo

A Adobe lançou uma atualização de segurança para o Adobe Commerce,  o Magento Open Source e o plug-in de webhooks do Adobe Commerce. Essa atualização resolve vulnerabilidades críticas e importantes. A exploração bem-sucedida poderia levar a uma execução de código arbitrário, falha de memória, negligência do recurso de segurança e escalonamento de privilégios.

A Adobe está ciente de que o CVE-2024-34102 tem sido explorado na Web em ataques muito limitados contra os comerciantes da Adobe Commerce.

Versões afetadas

Produto Versão Plataforma
 Adobe Commerce
2.4.7 e anteriores
2.4.6-p5 e anteriores
2.4.5-p7 e anteriores
2.4.4-p8 e anteriores
2.4.3-ext-7 e anteriores*
2.4.2-ext-7 e anteriores*
Todos
Magento Open Source 2.4.7 e versões anteriores
2.4.6-p5 e versões anteriores
2.4.5-p7 e versões anteriores
2.4.4-p8 e versões anteriores
Todos
Plug-in de webhooks do Adobe Commerce
1.2.0 a 1.4.0
Instalação manual do plug-in

Observação: para maior clareza, as versões afetadas foram listadas por cada linha de lançamento compatível, em vez de apenas pelas versões mais recentes.

* Essas versões são aplicáveis somente aos clientes que participam do Programa de Suporte Estendido

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.

Produto Versão atualizada Plataforma Classificação de prioridade Instruções de instalação
Adobe Commerce

2.4.7-p1 para 2.4.7 e anteriores
2.4.6-p6 de 2.4.6-p5 e anteriores
2.4.5-p8 para 2.4.5-p7 e anteriores
2.4.4-p9 para 2.4.4-p8 e anteriores
2.4.3-ext-8 para 2.4.3-ext-7 e anteriores*
2.4.2-ext-8 para 2.4.2-ext-7 e anteriores*

Todos
1 Notas de versão 2.4.x
Magento Open Source 

2.4.7-p1 para 2.4.7 e versões anteriores
2.4.6-p6 para 2.4.6-p5 e versões anteriores
2.4.5-p8 para 2.4.5-p7 e versões anteriores
2.4.4-p9 para 2.4.4-p8 e versões anteriores

Todos
1
Plug-in de webhooks do Adobe Commerce
1.5.0 Instalação manual do plug-in 1 Atualizar módulos e extensões
Adobe Commerce e Magento Open Source 

Correção isolada para CVE-2024-34102: ACSD-60241

 

Compatível com todas as versões do Adobe Commerce e Magento Open Source entre 2.4.4 e 2.4.7

Todos 1

Notas de versão da correção isolada 

 

Observações: * Essas versões são aplicáveis somente aos clientes que participam do Programa de Suporte Estendido

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Autenticação necessária para explorar? A exploração requer privilégios administrativos?
Pontuação base de CVSS
Vetor CVSS
Número(s) CVE Observações
Falsificação de solicitação do lado do servidor (SSRF) (CWE-918)
Execução de código arbitrário
Crítico Sim Sim 8.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
CVE-2024-34111
Nenhuma
Restrição incorreta da referência de entidade externa do XML (‘XXE’) (CWE-611)
Execução de código arbitrário
Crítico Não Não 9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2024-34102
Nenhuma
Autorização inadequada (CWE-287)
Escalonamento de privilégio
Crítico Não Não 8.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2024-34103
Nenhuma
Autorização inadequada (CWE-285)
Falha de recurso de segurança
Crítico
Sim Não 8.2 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CVE-2024-34104
Nenhuma
Validação de entrada inadequada (CWE-20)
Execução de código arbitrário
Crítico
Sim
Sim
9.1 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2024-34108     

 

Plug-in de webhooks do Adobe Commerce
Validação de entrada inadequada (CWE-20)
Execução de código arbitrário
Crítico Sim
Sim
8.0 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CVE-2024-34109 Plug-in de webhooks do Adobe Commerce
Upload irrestrito de arquivo com tipo perigoso (CWE-434)
Execução de código arbitrário
Crítico Sim
Sim
8.0 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CVE-2024-34110 Plug-in de webhooks do Adobe Commerce
Criação de script entre sites (XSS armazenado) (CWE-79)
Execução de código arbitrário
Importante Sim Sim 4.8 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
CVE-2024-34105 Nenhuma
Autorização inadequada (CWE-287)
Falha de recurso de segurança
Importante Sim Não 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
CVE-2024-34106 Nenhuma
Controle de acesso impróprio (CWE-284)
Falha de recurso de segurança
Importante
Não Não 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CVE-2024-34107 Nenhuma
Observação:

Autenticação necessária para explorar: a vulnerabilidade é (ou não é) explorável sem credenciais.


A exploração requer privilégios administrativos: a vulnerabilidade é (ou não é) apenas explorável por um invasor com privilégios administrativos.

Agradecimentos

A Adobe gostaria de agradecer aos seguintes pesquisadores por relatarem esses problemas e trabalharem com a Adobe para ajudar a proteger nossos clientes:

  • wohlie - CVE-2024-34108, CVE-2024-34109, CVE-2024-34110
  • T.H. Lassche (thlassche) - CVE-2024-34104, CVE-2024-34107
  • spacewasp - CVE-2024-34102
  • persata - CVE-2024-34103
  • Geluchat (geluchat) - CVE-2024-34105
  • Akash Hamal (akashhamal0x01) - CVE-2024-34111
  • pranoy_2022 - CVE-2024-34106

OBSERVAÇÃO: o Adobe tem um programa de recompensa de bugs privado, apenas para convidados, o HackerOne. Se estiver interessado em trabalhar com a Adobe como pesquisador de segurança externa, preencha este formulário para saber as próximas etapas.

Revisões

8 de julho de 2024:

  1. Prioridade revisada para 1.

27 de junho de 2024: 

  1. A Adobe forneceu uma correção isolada para CVE-2024-34102. 

26 de junho de 2024:

  1. Prioridade do Boletim revisado de 3 a 2. A Adobe está ciente de que há um registro disponível publicamente relacionado ao CVE-2024-34102.
  2. Remoção de versões inaplicáveis de suporte estendido de fim de vida útil das tablets de versões Afetadas e Solução

Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?

Adobe MAX 2024

Adobe MAX

The Creativity Conference

14 a 16 de outubro, Miami Beach e online

Adobe MAX 2024

Adobe MAX

The Creativity Conference

14 a 16 de outubro, Miami Beach e online