ID bulletinu
Naposledy aktualizováno
25. 11. 2024
Zveřejnění aktualizace zabezpečení pro aplikaci Adobe Commerce | APSB24-90
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB24-90 |
12. listopadu 2024 |
3 |
Shrnutí
Společnost Adobe vydala aktualizaci zabezpečení pro aplikace Adobe Commerce a Magento Open Source, které využívají technologii Commerce Services a jsou nasazeny jako SaaS (software jako služba). Tato aktualizace řeší kritickou chybu zabezpečení. Úspěšné zneužití této chyby by mohlo vést ke svévolnému spuštění kódu.
Společnost Adobe neví o žádném zneužití chyb vyřešených v těchto aktualizací v reálném prostředí.
Postižené verze
| Produkt | Verze | Platforma |
|---|---|---|
| Aplikace Adobe Commerce a Magento Open Source, které využívají technologii Commerce Services a jsou nasazeny jako SaaS (software jako služba). (Commerce Services Connector) | 3.2.5 a starší verze | Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
| Produkt | Aktualizovaná verze | Platforma | Úroveň priority | Pokyny pro instalaci |
|---|---|---|---|---|
| Aplikace Adobe Commerce a Magento Open Source, které využívají technologii Commerce Services a jsou nasazeny jako SaaS (software jako služba). (Commerce Services Connector) | 3.2.6 |
Vše |
3 |
|
Podrobnosti o chybě zabezpečení
| Kategorie chyby zabezpečení | Dopad chyby zabezpečení | Závažnost | Je ke zneužití vyžadováno ověření? | Je ke zneužití nutné mít oprávnění správce? |
Základní hodnocení CVSS |
Vektor CVSS |
Čísla CVE | Poznámky |
|---|---|---|---|---|---|---|---|---|
| Útoky SSRF (Server-Side Request Forgery) (CWE-918) |
Svévolné spuštění kódu |
Kritická |
Ano | Ano | 7,7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
CVE-2024-49521 |
Poznámka:
Ke zneužití je vyžadováno ověření: Tuto chybu může (nebo nemůže) zneužít útočník bez přihlašovacích údajů.
Vyžaduje oprávnění správce: Tuto chybu může (nebo nemůže) zneužít pouze útočník s oprávněním správce.
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:
- Akash Hamal (akashhamal0x01) – CVE-2024-49521
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne soukromý program Bug Bounty, který je k dispozici pouze pro pozvané. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení a chcete vědět, jak dál postupovat, vyplňte tento formulář.
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.
