Adobe 安全公告

Adobe Commerce 的安全更新 | APSB24-03

公告 ID

发布日期

优先级

APSB24-03

2024 年 2 月 13 日

3

摘要

Adobe 发布了 Adobe Commerce 和 Magento Open Source 的安全更新。此更新解决了多个关键重要中等漏洞。    如果这些漏洞遭到恶意利用,可能导致任意代码执行和绕过安全功能和应用程序拒绝服务。

受影响的版本

产品 版本 平台
 Adobe Commerce
2.4.6-p3 及更早版本
2.4.5-p5 及更早版本
2.4.4-p6 及更早版本
2.4.3-ext-5 及更早版本*
2.4.2-ext-5 及更早版本*
全部
Magento Open Source 2.4.6-p3 及更早版本
2.4.5-p5 及更早版本
2.4.4-p6 及更早版本
全部

注意:为清楚起见,所列的受影响版本现均面向每个受支持的版本系列列出(而不仅限于最新版本)。

* 这些版本仅适用于参加扩展支持计划的客户

解决方案

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本。

 

产品 更新后的版本 平台 优先级 安装说明
Adobe Commerce

2.4.6-p4 for 2.4.6-p3 及更早版本
2.4.5-p6 for 2.4.5-p5 及更早版本
2.4.4-p7 for 2.4.4-p6 及更早版本
2.4.3-ext-6 for 2.4.3-ext-5 及更早版本*
2.4.2-ext-6 for 2.4.2-ext-5 及更早版本*

全部
3 2.4.x 发行说明
Magento Open Source 

2.4.6-p4(对于 2.4.6-p3 及更早版本)
2.4.5-p6(对于 2.4.5-p5 及更早版本)
2.4.4-p7(对于 2.4.4-p6 及更早版本)

全部
3
注意:* 这些版本仅适用于参加扩展支持计划的客户

漏洞详情

漏洞类别 漏洞影响 严重性 利用漏洞需要验证身份? 利用漏洞需要管理员权限?
CVSS 基础评分
CVSS 向量
CVE 编号
跨站点脚本(存储型 XSS)(CWE-79) 任意代码执行
关键 9.1 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H CVE-2024-20719
操作系统命令中使用的特殊元素不当中和(“操作系统命令注入”)(CWE-78) 任意代码执行
关键 9.1 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H CVE-2024-20720
资源消耗失控 (CWE-400) 应用程序拒绝服务 重要 5.7 CVSS:3.1/AV:A/AC:L/PR:H/UI:R/S:C/C:N/I:N/A:H CVE-2024-20716
跨站点脚本(存储型 XSS)(CWE-79)
任意代码执行 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-20717
跨站点请求伪造 (CSRF) (CWE-352) 绕过安全功能
中等 4.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N CVE-2024-20718
注意:

利用漏洞需要验证身份:该漏洞无需凭据即可被利用(或无法利用)。


利用漏洞需要管理员权限:该漏洞仅具有管理员权限的攻击者可以利用(或无法利用)。

鸣谢

Adobe 衷心感谢以下研究人员报告这些问题并与 Adobe 一起保护我们的客户:

  • Blaklis - CVE-2024-20719、CVE-2024-20720
  • Rafael Corrêa Gomes (rafaelcg) - CVE-2024-20716
  • lboy - CVE-2024-20717
  • Alexandrio - CVE-2024-20718

注意:Adobe 通过 HackerOne 开展私密的有奖挖洞邀请项目。如果您有兴趣作为外部安全研究人员与 Adobe 合作,请填写此表格,用于后续流程。

修订

2024 年 6 月 26 日  - 从“受影响的版本”表和“解决方案版本”表中移除了不适用的生命周期终止延长支持版本


有关更多信息,请访问 https://helpx.adobe.com/cn/security.html,或发送电子邮件至 PSIRT@adobe.com。

 Adobe

更快、更轻松地获得帮助

新用户?