Bulletin-ID
Sidst opdateret den
5. jul. 2024
Sikkerhedsopdateringer til Adobe Commerce | APSB24-03
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB24-03 |
13. februar 2024 |
3 |
Resumé
Berørte versioner
| Produkt | Version | Platform |
|---|---|---|
| Adobe Commerce |
2.4.6-p3 og tidligere 2.4.5-p5 og tidligere 2.4.4-p6 og tidligere 2.4.3-ext-5 og tidligere* 2.4.2-ext-5 og tidligere* |
Alle |
| Magento Open Source | 2.4.6-p3 og tidligere 2.4.5-p5 og tidligere 2.4.4-p6 og tidligere |
Alle |
Bemærk: For overskuelighedens skyld er de berørte versioner nu angivet for den understøttede versionsrække i stedet for kun den nyeste version.
* Disse versioner gælder kun for kunder, der deltager i det udvidede supportprogram Udvidet supportprogram
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
| Produkt | Opdateret version | Platform | Prioritetsgrad | Installationsvejledning |
|---|---|---|---|---|
| Adobe Commerce |
2.4.6-p4 til 2.4.6-p3 og tidligere |
Alle |
3 | 2.4.x Produktbemærkninger |
| Magento Open Source |
2.4.6-p4 til 2.4.6-p3 og tidligere |
Alle |
3 | |
| Bemærk: * Disse versioner gælder kun for kunder, der deltager i det udvidede supportprogram Udvidet supportprogram | ||||
Sikkerhedsoplysninger
| Sikkerhedskategori | Virkning af sikkerhedsproblem | Alvorlighed | Kræver det autentifikation at udnytte sikkerhedshullet? | Kræver det administratorrettigheder at udnytte sikkerhedshullet? |
CVSS-basisscore |
CVSS-vektor |
CVE-nummer/numre |
|---|---|---|---|---|---|---|---|
| Cross-site scripting (lagret XSS) (CWE-79) | Vilkårlig kodekørsel |
Kritisk | Ja | Ja | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2024-20719 |
| Ukorrekt neutralisering af særlige elementer, der bruges i en OS-kommando ('OS Command Injection') (CWE-78) | Vilkårlig kodekørsel |
Kritisk | Ja | Ja | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2024-20720 |
| Ukontrolleret ressourceforbrug (CWE-400) | Denial-of-service for applikation | Vigtig | Ja | Ja | 5.7 | CVSS:3.1/AV:A/AC:L/PR:H/UI:R/S:C/C:N/I:N/A:H | CVE-2024-20716 |
| Cross-site scripting (lagret XSS) (CWE-79) |
Vilkårlig kodekørsel | Vigtig | Ja | Ja | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20717 |
| Cross-Site Request Forgery (CSRF) (CWE-352) | Sikkerhedsomgåelse |
Moderat | Ja | Nej | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2024-20718 |
Bemærk:
Autentifikation er påkrævet for at udnytte: Sårbarheden kan (eller kan ikke) udnyttes uden legitimationsoplysninger.
Kræver administratorrettigheder: Sårbarheden kan (eller kan ikke) kun udnyttes, hvis angriberen har administratorrettigheder.
Tak til følgende personer
Adobe vil gerne takke følgende researchere at rapportere disse sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:
- Blaklis – CVE-2024-20719, CVE-2024-20720
- Rafael Corrêa Gomes (rafaelcg) – CVE-2024-20716
- lboy – CVE-2024-20717
- Alexandrio – CVE-2024-20718
BEMÆRK: Adobe har et privat bug bounty-program med HackerOne, som kun er åbent for inviterede. Hvis du er interesseret i at arbejde med Adobe som ekstern sikkerhedsforsker, kan du udfylde denne formular for de næste trin.
Revisioner
26. juni 2024 - Fjernede oplysninger om ophør af udvidet support på produktversioner, der var forkert angivet i tabellerne med oplysninger om berørte versioner og løsninger
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.
