Bulletin-ID
Zuletzt aktualisiert am
26. Juli 2024
Sicherheitsupdate für Adobe Commerce verfügbar | APSB24-40
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB24-40 |
11. Juni 2024 |
1 |
Zusammenfassung
Adobe hat ein Sicherheitsupdate für Adobe Commerce, Magento Open Source und das Adobe Commerce Webhooks Plug-in veröffentlicht. Dieses Update behebt kritische und wichtige Sicherheitslücken. Ein erfolgreiches Ausnutzen könnte zu willkürlicher Codeausführung, zur Umgehung von Sicherheitsfunktionen und zur Berechtigungsausweitung führen.
Adobe ist bekannt, dass CVE-2024-34102 in begrenzten Angriffen auf Adobe Commerce-Händler ausgenutzt wurde.
Betroffene Versionen
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Commerce |
2.4.7 und früher 2.4.6-p5 und früher 2.4.5-p7 und früher 2.4.4-p8 und früher 2.4.3-ext-7 und früher* 2.4.2-ext-7 und früher* |
Alle |
| Magento Open Source | 2.4.7 und früher 2.4.6-p5 und früher 2.4.5-p7 und früher 2.4.4-p8 und früher |
Alle |
| Adobe Commerce Webhooks-Plug-in |
1.2.0 bis 1.4.0 |
Manuelle Plug-in-Installation |
Hinweis: Aus Gründen der Übersichtlichkeit werden die betroffenen Versionen nun für jede unterstützte Versionslinie aufgelistet und nicht mehr nur die neuesten Versionen.
* Diese Versionen gelten nur für Kunden, die am Erweiterten Support-Programm teilnehmen
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
| Produkt | Aktualisierte Version | Plattform | Priorität | Installationsanweisungen |
|---|---|---|---|---|
| Adobe Commerce |
2.4.7-p1 für 2.4.7 und früher |
Alle |
1 | 2.4.x – Versionshinweise |
| Magento Open Source |
2.4.7-p1 für 2.4.7 und früher |
Alle |
1 | |
| Adobe Commerce Webhooks-Plug-in |
1.5.0 | Manuelle Plug-in-Installation | 1 | Upgrade-Module und -Erweiterungen |
| Adobe Commerce und Magento Open Source | Isolierter Patch für CVE-2024-34102: ACSD-60241
Kompatibel mit allen Adobe Commerce- und Magento Open Source-Versionen zwischen 2.4.4 und 2.4.7 |
Alle | 1 | Versionshinweise für isoliertes Patch
|
| Hinweis: * Diese Versionen gelten nur für Kunden, die am erweiterten Support-Programm teilnehmen | ||||
Sicherheitslückendetails
| Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | Exploit erfordert Authentifizierung? | Exploit erfordert Admin-Rechte? |
CVSS-Basispunktzahl |
CVSS-Vektor |
CVE-Nummern(n) | Anmerkungen |
|---|---|---|---|---|---|---|---|---|
| Server-Side Request Forgery (SSRF) (CWE-918) |
Willkürliche Ausführung von Code |
Kritisch | Ja | Ja | 8.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
CVE-2024-34111 |
Überhaupt nicht |
| Nicht ordnungsgemäße Eingrenzung externer XML-Entitätsreferenzen ('XXE') (CWE-611) |
Willkürliche Ausführung von Code |
Kritisch | Nein | Nein | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-34102 |
Überhaupt nicht |
| Unzulässige Authentifizierung (CWE-287) |
Berechtigungsausweitung |
Kritisch | Nein | Nein | 8.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-34103 |
Überhaupt nicht |
| Unzulässige Autorisierung (CWE-285) |
Umgehung der Sicherheitsfunktionen |
Kritisch |
Ja | Nein | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-34104 |
Überhaupt nicht |
| Unangemessene Eingabevalidierung (CWE-20) |
Willkürliche Ausführung von Code |
Kritisch |
Ja |
Ja |
9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34108
|
Adobe Commerce Webhooks-Plug-in |
| Unangemessene Eingabevalidierung (CWE-20) |
Willkürliche Ausführung von Code |
Kritisch | Ja |
Ja |
8.0 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34109 | Adobe Commerce Webhooks-Plug-in |
| Uneingeschränkter Upload von Dateien mit gefährlichem Typ (CWE-434) |
Willkürliche Ausführung von Code |
Kritisch | Ja |
Ja |
8.0 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34110 | Adobe Commerce Webhooks-Plug-in |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-34105 | Überhaupt nicht |
| Unzulässige Authentifizierung (CWE-287) |
Umgehung der Sicherheitsfunktionen |
Wichtig | Ja | Nein | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-34106 | Überhaupt nicht |
| Unzulässige Zugriffskontrolle (CWE-284) |
Umgehung der Sicherheitsfunktionen |
Wichtig |
Nein | Nein | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-34107 | Überhaupt nicht |
Hinweis:
Zum Ausnutzen ist eine Authentifizierung erforderlich: Die Schwachstelle kann ohne Anmeldeinformationen ausgenutzt werden (bzw. nicht ausgenutzt werden).
Erfordert Administratorrechte: Die Schwachstelle ist (oder ist nicht) nur von einem Angreifer mit Administratorrechten ausnutzbar.
Danksagung
Adobe bedankt sich bei den folgenden Forschern, die diese Probleme gemeldet haben und mit Adobe zusammenarbeiten, um unsere Kunden zu schützen:
- wohlie – CVE-2024-34108, CVE-2024-34109, CVE-2024-34110
- T.H. Lassche (thlassche) – CVE-2024-34104, CVE-2024-34107
- spacewasp – CVE-2024-34102
- persata – CVE-2024-34103
- Geluchat (geluchat) – CVE-2024-34105
- Akash Hamal (akashhamal0x01) – CVE-2024-34111
- pranoy_2022 – CVE-2024-34106
HINWEIS: Adobe hat ein privates, nur für Einladungen bestimmtes Bug-Bounty-Programm mit HackerOne. Wenn du an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert bist, fülle bitte dieses Formular aus, um die nächsten Schritte einzuleiten.
Überarbeitungen
8. Juli 2024:
- Die Priorität wurde auf 1 geändert.
27. Juni 2024:
- Adobe hat einen isolierten Patch für CVE-2024-34102 bereitgestellt.
26. Juni 2024:
- Die Priorität des Bulletins wurde von 3 auf 2 geändert. Adobe ist bekannt, dass es ein öffentlich zugängliches Dokument zu CVE-2024-34102 gibt.
- Unzutreffende End-of-Life-Versionen des erweiterten Supports wurden aus den Tabellen Betroffene Versionen und Lösungsversionen entfernt
Weitere Informationen gibt es unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.
