ID bulletinu
Naposledy aktualizováno
26. 8. 2024
Zveřejnění aktualizace zabezpečení pro aplikaci Adobe Commerce | APSB24-61
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB24-61 |
13. srpen 2024 |
3 |
Shrnutí
Společnost Adobe vydala aktualizaci zabezpečení pro software Adobe Commerce a Magento Open Source. Tato aktualizace řeší kritické, důležité a střední chyby zabezpečení. Úspěšné zneužití by mohlo vést ke svévolnému spuštění kódu, nahodilému čtení souborového systému, obcházení bezpečnostních funkcí a zvýšení oprávnění.
Postižené verze
| Produkt | Verze | Platforma |
|---|---|---|
| Adobe Commerce |
2.4.7-p1 a starší verze 2.4.6-p6 a starší verze 2.4.5-p8 a starší verze 2.4.4-p9 a starší verze |
Vše |
| Magento Open Source | 2.4.7-p1 a starší verze 2.4.6-p6 a starší verze 2.4.5-p8 a starší verze 2.4.4-p9 a starší verze |
Vše |
Poznámka: Z důvodu přehlednosti jsou nyní dotčené verze uvedeny pro každý řádek podporovaného vydání namísto pouze nejnovějších verzí.
Řešení
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
| Produkt | Aktualizovaná verze | Platforma | Úroveň priority | Pokyny pro instalaci |
|---|---|---|---|---|
| Adobe Commerce |
2.4.7-p2 pro 2.4.7-p1 a starší verze |
Vše |
3 | Poznámky k verzi 2.4.x |
| Magento Open Source |
2.4.7-p2 pro 2.4.7-p1 a starší verze |
Vše |
3 | |
| Adobe Commerce a Magento Open Source | Izolovaná oprava pro CVE-2024-39397
Kompatibilní se všemi verzemi platforem Adobe Commerce a Magento Open Source v rozmezí verzí od 2.4.4 do 2.4.7 |
Vše | 3 | Poznámky k verzi pro izolovanou opravu pro CVE-2024-39397
|
Podrobnosti o chybě zabezpečení
| Kategorie chyby zabezpečení | Dopad chyby zabezpečení | Závažnost | Je ke zneužití vyžadováno ověření? | Je ke zneužití nutné mít oprávnění správce? |
Základní hodnocení CVSS |
Vektor CVSS |
Čísla CVE | Poznámky |
|---|---|---|---|---|---|---|---|---|
| Neomezené nahrávání souboru s nebezpečným typem (CWE 434) |
Svévolné spuštění kódu |
Kritická |
Ne | Ne | 9.0 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-39397 | Týká se to pouze obchodníků používajících webový server Apache |
| Nesprávné omezení nadměrného počtu pokusů o ověření (CWE-307) |
Obcházení bezpečnostních funkcí |
Kritická |
Ano | Ano | 7.4 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
CVE-2024-39398 | |
| Nesprávné omezení názvu cesty do omezeného adresáře („Procházení cesty“) (CWE-22) |
Svévolné čtení systému souborů |
Kritická |
Ano | Ano | 7,7 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
CVE-2024-39399 | |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Kritická |
Ano | Ano | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-39400 | |
| Nesprávná neutralizace speciálních prvků použitých v příkazu operačního systému („injekce příkazu operačního systému“) (CWE-78) |
Svévolné spuštění kódu |
Kritická |
Ano | Ano | 8.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
CVE-2024-39401 | |
| Nesprávná neutralizace speciálních prvků použitých v příkazu operačního systému („injekce příkazu operačního systému“) (CWE-78) |
Svévolné spuštění kódu |
Kritická |
Ano | Ano | 8.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H | CVE-2024-39402 | |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Kritická |
Ano | Ano | 7.6 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N |
CVE-2024-39403 | |
| Expozice informací (CWE-200) |
Obcházení bezpečnostních funkcí |
Důležitá | Ano | Ano | 6.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2024-39406 | |
| Nesprávné řízení přístupu (CWE-284) |
Zvyšování oprávnění |
Střední | Ano | Ano | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39404 | |
| Nesprávné řízení přístupu (CWE-284) |
Obcházení bezpečnostních funkcí |
Střední | Ano | Ano | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39405 | |
| Nesprávná autorizace (CWE-863) |
Obcházení bezpečnostních funkcí |
Střední | Ano | Ano | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39407 | |
| Útok CSRF (Cross-Site Request Forgery) (CWE-352) |
Obcházení bezpečnostních funkcí |
Střední | Ano | Ne | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-39408 | |
| Útok CSRF (Cross-Site Request Forgery) (CWE-352) |
Obcházení bezpečnostních funkcí |
Střední | Ano | Ne | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-39409 | |
| Útok CSRF (Cross-Site Request Forgery) (CWE-352) |
Obcházení bezpečnostních funkcí |
Střední | Ano | Ne | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39410 | |
| Nesprávné řízení přístupu (CWE-284) |
Zvyšování oprávnění |
Střední | Ano | Ano | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39411 | |
| Neodpovídající ověření totožnosti (CWE-285) |
Obcházení bezpečnostních funkcí |
Střední | Ano | Ano | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39412 | |
| Neodpovídající ověření totožnosti (CWE-285) |
Obcházení bezpečnostních funkcí |
Střední | Ano | Ano | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39413 | |
| Nesprávné řízení přístupu (CWE-284) |
Zvyšování oprávnění |
Střední | Ano | Ano | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39414 | |
| Neodpovídající ověření totožnosti (CWE-285) |
Obcházení bezpečnostních funkcí |
Střední | Ano | Ano | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39415 | |
| Neodpovídající ověření totožnosti (CWE-285) |
Obcházení bezpečnostních funkcí |
Střední | Ano | Ano | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | CVE-2024-39416 | |
| Neodpovídající ověření totožnosti (CWE-285) |
Obcházení bezpečnostních funkcí |
Střední | Ano | Ano | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39417 | |
| Neodpovídající ověření totožnosti (CWE-285) |
Obcházení bezpečnostních funkcí |
Střední | Ano | Ano | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | CVE-2024-39418 | |
| Nesprávné řízení přístupu (CWE-284) |
Zvyšování oprávnění |
Střední | Ano | Ano | 4.3 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39419 |
Poznámka:
Ke zneužití je vyžadováno ověření: Tuto chybu může (nebo nemůže) zneužít útočník bez přihlašovacích údajů.
Vyžaduje oprávnění správce: Tuto chybu může (nebo nemůže) zneužít pouze útočník s oprávněním správce.
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:
- Akash Hamal (akashhamal0x01) – CVE-2024-39404, CVE-2024-39405, CVE-2024-39407, CVE-2024-39411, CVE-2024-39412, CVE-2024-39413, CVE-2024-39414, CVE-2024-39415, CVE-2024-39416, CVE-2024-39417, CVE-2024-39418, CVE-2024-39419
- wohlie – CVE-2024-39401, CVE-2024-39402, CVE-2024-39403
- Javier Corral (corraldev) – CVE-2024-39398, CVE-2024-39400
- Alexandrio (alexandrio) – CVE-2024-39408, CVE-2024-39409
- Blaklis (blaklis) – CVE-2024-39406, CVE-2024-39410
- T.H. Lassche (thlassche) – CVE-2024-39397
- Icare (icare) – CVE-2024-39399
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne soukromý program Bug Bounty, který je k dispozici pouze pro pozvané. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení a chcete vědět, jak dál postupovat, vyplňte tento formulář.
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.
