ID do boletim
Última atualização em
25 de nov de 2024
Atualização de segurança disponível para Adobe Commerce | APSB24-90
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
APSB24-90 |
12 de novembro de 2024 |
3 |
Resumo
A Adobe lançou uma atualização de segurança para os recursos Adobe Commerce e Magento Open Source fornecidos pelos Commerce Services e implantados como SaaS (software como serviço). Esta atualização resolve uma vulnerabilidade crítica. A exploração bem-sucedida poderia levar a uma execução de código arbitrário.
A Adobe não tem conhecimento de nenhuma exploração na Web de nenhum dos problemas abordados nestas atualizações.
Versões afetadas
| Produto | Versão | Plataforma |
|---|---|---|
| Adobe Commerce e Magento Open Source com fornecidos pelos Commerce Services e implantados como SaaS (software como um serviço). (Commerce Services Connector) | 3.2.5 e versões anteriores | Todos |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.
| Produto | Versão atualizada | Plataforma | Classificação de prioridade | Instruções de instalação |
|---|---|---|---|---|
| Adobe Commerce e Magento Open Source com fornecidos pelos Commerce Services e implantados como SaaS (software como um serviço). (Commerce Services Connector) | 3.2.6 |
Todos |
3 | Artigo da base de conhecimento
|
Detalhes da vulnerabilidade
| Categoria da vulnerabilidade | Impacto da vulnerabilidade | Severidade | Autenticação necessária para explorar? | A exploração requer privilégios administrativos? |
Pontuação base de CVSS |
Vetor CVSS |
Número(s) CVE | Observações |
|---|---|---|---|---|---|---|---|---|
| Falsificação de solicitação do lado do servidor (SSRF) (CWE-918) |
Execução de código arbitrário |
Crítico |
Sim | Sim | 7.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
CVE-2024-49521 |
Observação:
Autenticação necessária para explorar: a vulnerabilidade é (ou não é) explorável sem credenciais.
A exploração requer privilégios administrativos: a vulnerabilidade é (ou não é) apenas explorável por um invasor com privilégios administrativos.
Agradecimentos
A Adobe gostaria de agradecer aos seguintes pesquisadores por relatarem esses problemas e trabalharem com a Adobe para ajudar a proteger nossos clientes:
- Akash Hamal (akashhamal0x01) – CVE-2024-49521
OBSERVAÇÃO: o Adobe tem um programa de recompensa de bugs privado, apenas para convidados, o HackerOne. Se estiver interessado em trabalhar com a Adobe como pesquisador de segurança externa, preencha este formulário para saber as próximas etapas.
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.
