ID bollettino
Ultimo aggiornamento il
25 nov 2024
Aggiornamento di sicurezza disponibile per Adobe Commerce | APSB24-90
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
APSB24-90 |
12 novembre 2024 |
3 |
Riepilogo
Adobe ha rilasciato un aggiornamento di sicurezza per Adobe Commerce e le funzionalità di Magento Open Source con tecnologia Commerce Services e distribuito come SaaS (software as a service). Questo aggiornamento risolve una vulnerabilità critica. Un eventuale sfruttamento potrebbe provocare l'esecuzione di codice arbitrario.
Adobe non è a conoscenza di exploit delle vulnerabilità oggetto di questi aggiornamenti.
Versioni interessate
| Prodotto | Versione | Piattaforma |
|---|---|---|
| Adobe Commerce e Magento Open Source con tecnologia Commerce Services e distribuiti come SaaS (software come servizio). (Connettore servizi Commerce) | 3.2.5 e versioni precedenti | Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
| Prodotto | Versione aggiornata | Piattaforma | Livello di priorità | Istruzioni per l’installazione |
|---|---|---|---|---|
| Adobe Commerce e Magento Open Source con tecnologia Commerce Services e distribuiti come SaaS (software come servizio). (Connettore servizi Commerce) | 3.2.6 |
Tutte |
3 |
|
Dettagli della vulnerabilità
| Categoria della vulnerabilità | Impatto della vulnerabilità | Gravità | Autenticazione obbligatoria per l'utilizzo? | L'utilizzo richiede i privilegi di amministratore? |
Punteggio base CVSS |
Vettore CVSS |
Codice/i CVE | Note |
|---|---|---|---|---|---|---|---|---|
| Server-Side Request Forgery (SSRF) (CWE-918) |
Esecuzione di codice arbitrario |
Critico |
Sì | Sì | 7.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
CVE-2024-49521 |
Nota:
È richiesta l'autenticazione per l'utilizzo: la vulnerabilità è (o non è) sfruttabile senza credenziali.
L'utilizzo richiede privilegi di amministrazione: la vulnerabilità è (o non è) sfruttabile solo da un aggressore con privilegi di amministratore.
Ringraziamenti
Adobe desidera ringraziare i ricercatori seguenti per aver segnalato questi problemi contribuendo così a proteggere la sicurezza dei nostri clienti:
- Akash Hamal (akashhamal0x01) - CVE-2024-49521
NOTA: Adobe dispone di un programma di bug bounty privato, solo su invito, con HackerOne. Se sei interessato a lavorare con Adobe come ricercatore di sicurezza esterno, compila questo modulo per le fasi successive.
Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un'e-mail a PSIRT@adobe.com.
