Bulletin-ID
Zuletzt aktualisiert am
5. Juli 2024
Sicherheits-Update für Adobe Commerce verfügbar | APSB24-18
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB24-18 |
9. April 2024 |
3 |
Zusammenfassung
Adobe hat ein Sicherheitsupdate für Adobe Commerce und Magento Open Source veröffentlicht. Mit diesem Update werden kritische Sicherheitslücken behoben. Eine erfolgreiche Ausnutzung könnte zu willkürlicher Ausführung von Code führen.
Betroffene Versionen
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Commerce |
2.4.7-beta3 und früher 2.4.6-p4 und früher 2.4.5-p6 und früher 2.4.4-p7 und früher 2.4.3-ext-6 und früher* 2.4.2-ext-6 und früher* |
Alle |
| Magento Open Source | 2.4.7-beta3 und früher 2.4.6-p4 und früher 2.4.5-p6 und früher 2.4.4-p7 und früher |
Alle |
Hinweis: Aus Gründen der Übersichtlichkeit werden die betroffenen Versionen nun für jede unterstützte Versionslinie aufgelistet und nicht mehr nur die neuesten Versionen.
* Diese Versionen gelten nur für Kunden, die am Erweiterten Support-Programm teilnehmen
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
| Produkt | Aktualisierte Version | Plattform | Priorität | Installationsanweisungen |
|---|---|---|---|---|
| Adobe Commerce |
2.4.7 für 2.4.7-beta3 und früher |
Alle |
3 | 2.4.x – Versionshinweise |
| Magento Open Source |
2.4.7 for 2.4.7-beta3 und früher |
Alle |
3 | |
| Hinweis: * Diese Versionen gelten nur für Kunden, die am erweiterten Support-Programm teilnehmen | ||||
Sicherheitslückendetails
| Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | Exploit erfordert Authentifizierung? | Exploit erfordert Admin-Rechte? |
CVSS-Basispunktzahl |
CVSS-Vektor |
CVE-Nummern(n) |
|---|---|---|---|---|---|---|---|
| Unangemessene Eingabevalidierung (CWE-20) |
Willkürliche Ausführung von Code |
Kritisch | Nein | Nein | 9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-20758 |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Kritisch | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-20759 |
Hinweis:
Zum Ausnutzen ist eine Authentifizierung erforderlich: Die Schwachstelle kann ohne Anmeldeinformationen ausgenutzt werden (bzw. nicht ausgenutzt werden).
Erfordert Administratorrechte: Die Schwachstelle ist (oder ist nicht) nur von einem Angreifer mit Administratorrechten ausnutzbar.
Danksagung
Adobe bedankt sich bei den folgenden Forschern, die diese Probleme gemeldet haben und mit Adobe zusammenarbeiten, um unsere Kunden zu schützen:
- Blaklis - CVE-2024-20758
- truff - CVE-2024-20759
HINWEIS: Adobe hat ein privates, nur für Einladungen bestimmtes Bug-Bounty-Programm mit HackerOne. Wenn du an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert bist, fülle bitte dieses Formular aus, um die nächsten Schritte einzuleiten.
Überarbeitungen
26. Juni 2024 – Unzutreffende End-of-Life-Versionen des erweiterten Supports wurden aus den Tabellen Betroffene Versionen und Lösungsversionen entfernt
Weitere Informationen gibt es unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.
