ID bulletinu
Naposledy aktualizováno
5. 7. 2024
Zveřejnění aktualizace zabezpečení pro aplikaci Adobe Commerce | APSB24-03
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB24-03 |
13. února 2024 |
3 |
Shrnutí
Společnost Adobe vydala aktualizaci zabezpečení pro software Adobe Commerce a Magento Open Source. Tyto aktualizace řeší chyby zabezpečení označené jako kritické, důležité a středně důležité. Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu, obcházení bezpečnostních funkcí a útokům DoS na aplikace.
Postižené verze
| Produkt | Verze | Platforma |
|---|---|---|
| Adobe Commerce |
2.4.6-p3 a starší verze 2.4.5-p5 a starší verze 2.4.4-p6 a starší verze 2.4.3-ext-5 a starší verze* 2.4.2-ext-5 a starší verze* |
Vše |
| Magento Open Source | 2.4.6-p3 a starší 2.4.5-p5 a starší 2.4.4-p6 a starší |
Vše |
Poznámka: Z důvodu přehlednosti jsou nyní dotčené verze uvedeny pro každý řádek podporovaného vydání namísto pouze nejnovějších verzí.
* Tyto verze platí pouze pro zákazníky, kteří se účastní rozšířeného programu podpory
Řešení
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
| Produkt | Aktualizovaná verze | Platforma | Úroveň priority | Pokyny pro instalaci |
|---|---|---|---|---|
| Adobe Commerce |
2.4.6-p4 pro 2.4.6-p3 a starší verze |
Vše |
3 | Poznámky k verzi 2.4.x |
| Magento Open Source |
2.4.6-p4 pro verzi 2.4.6-p3 a starší |
Vše |
3 | |
| Poznámka: * Tyto verze platí pouze pro zákazníky, kteří se účastní rozšířeného programu podpory | ||||
Podrobnosti o chybě zabezpečení
| Kategorie chyby zabezpečení | Dopad chyby zabezpečení | Závažnost | Je ke zneužití vyžadováno ověření? | Je ke zneužití nutné mít oprávnění správce? |
Základní hodnocení CVSS |
Vektor CVSS |
Čísla CVE |
|---|---|---|---|---|---|---|---|
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu |
Kritická | Ano | Ano | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2024-20719 |
| Nesprávná neutralizace speciálních prvků použitých v příkazu operačního systému („injekce příkazu operačního systému“) (CWE-78) | Svévolné spuštění kódu |
Kritická | Ano | Ano | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2024-20720 |
| Nekontrolované využívání prostředků (CWE-400) | Útoky DoS na aplikace | Důležitá | Ano | Ano | 5.7 | CVSS:3.1/AV:A/AC:L/PR:H/UI:R/S:C/C:N/I:N/A:H | CVE-2024-20716 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu | Důležitá | Ano | Ano | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20717 |
| Útok CSRF (Cross-Site Request Forgery) (CWE-352) | Obcházení bezpečnostních funkcí |
Střední | Ano | Ne | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2024-20718 |
Poznámka:
Ke zneužití je vyžadováno ověření: Tuto chybu může (nebo nemůže) zneužít útočník bez přihlašovacích údajů.
Vyžaduje oprávnění správce: Tuto chybu může (nebo nemůže) zneužít pouze útočník s oprávněním správce.
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:
- Blaklis – CVE-2024-20719, CVE-2024-20720
- Rafael Corrêa Gomes (rafaelcg) – CVE-2024-20716
- lboy – CVE-2024-20717
- Alexandrio – CVE-2024-20718
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne soukromý program Bug Bounty, který je k dispozici pouze pro pozvané. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení a chcete vědět, jak dál postupovat, vyplňte tento formulář.
Revize
26. červen 2024 – Odebrání nepoužitelných verzí rozšířené podpory s ukončenou životností z tabulek Postižené verze a Verze řešení
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.
