Adobe 安全公告

搜索

上次更新日期： 2024年7月5日

Adobe Commerce 的安全更新 | APSB24-18

公告 ID	发布日期	优先级
APSB24-18	2024 年 4 月 9 日	3

摘要

Adobe 发布了 Adobe Commerce 和 Magento Open Source 的安全更新。此更新解决了多个关键漏洞。  如果这些漏洞遭到恶意利用，可能导致任意代码执行。

产品	版本	平台
Adobe Commerce	2.4.7-beta3 及更早版本 2.4.6-p4 及更早版本 2.4.5-p6 及更早版本 2.4.4-p7 及更早版本 2.4.3-ext-6 及更早版本* 2.4.2-ext-6 及更早版本*	全部
Magento Open Source	2.4.7-beta3 及更早版本 2.4.6-p4 及更早版本 2.4.5-p6 及更早版本 2.4.4-p7 及更早版本	全部

注意：为清楚起见，所列的受影响版本现均面向每个受支持的版本系列列出（而不仅限于最新版本）。

* 这些版本仅适用于参加扩展支持计划的客户

Adobe 按照以下优先级将这些更新分类，并建议用户将其安装的软件更新至最新版本。

产品	更新后的版本	平台	优先级	安装说明
Adobe Commerce	2.4.7 for 2.4.7-beta3 及更早版本 2.4.6-p5 for 2.4.6-p4 及更早版本 2.4.5-p7 for 2.4.5-p6 及更早版本 2.4.4-p8 for 2.4.4-p7 及更早版本 2.4.3-ext-7 for 2.4.3-ext-6 及更早版本* 2.4.2-ext-7 for 2.4.2-ext-6 及更早版本*	全部	3	2.4.x 发行说明
Magento Open Source	2.4.7 for 2.4.7-beta3 及更早版本 2.4.6-p5 for 2.4.6-p4 及更早版本 2.4.5-p7 for 2.4.5-p6 及更早版本 2.4.4-p8 for 2.4.4-p7 及更早版本	全部	3	2.4.x 发行说明
*注意：这些版本仅适用于参加扩展支持计划的客户**

漏洞类别	漏洞影响	严重性	利用漏洞需要验证身份？	利用漏洞需要管理员权限？	CVSS 基础评分	CVSS 向量	CVE 编号
不当的输入验证 (CWE-20)	任意代码执行	关键	否	否	9	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H	CVE-2024-20758
跨站点脚本（存储型 XSS）(CWE-79)	任意代码执行	关键	是	是	8.1	CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N	CVE-2024-20759

注意:

利用漏洞需要验证身份：该漏洞无需凭据即可被利用（或无法利用）。

利用漏洞需要管理员权限：该漏洞仅具有管理员权限的攻击者可以利用（或无法利用）。

Adobe 衷心感谢以下研究人员报告这些问题并与 Adobe 一起保护我们的客户：

注意：Adobe 通过 HackerOne 开展私密的有奖挖洞邀请项目。如果您有兴趣作为外部安全研究人员与 Adobe 合作，请填写此表格，用于后续流程。

2024 年 6 月 26 日 - 从“受影响的版本”表和“解决方案版本”表中移除了不适用的生命周期终止延长支持版本

有关更多信息，请访问 https://helpx.adobe.com/cn/security.html，或发送电子邮件至 PSIRT@adobe.com。

新用户？