Bulletin-ID
Sidst opdateret den
5. jul. 2024
Sikkerhedsopdateringer til Adobe Commerce | APSB24-18
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB24-18 |
9. april 2024 |
3 |
Resumé
Adobe har frigivet en sikkerhedsopdatering til Adobe Commerce og Magento Open Source. Denne opdatering løser kritiske sikkerhedsproblemer. Udnyttelse af disse sikkerhedsproblemer kan medføre vilkårlig kodekørsel.
Berørte versioner
| Produkt | Version | Platform |
|---|---|---|
| Adobe Commerce |
2.4.7-beta3 og tidligere 2.4.6-p4 og tidligere 2.4.5-p6 og tidligere 2.4.4-p7 og tidligere 2.4.3-ext-6 og tidligere* 2.4.2-ext-6 og tidligere* |
Alle |
| Magento Open Source | 2.4.7-beta3 og tidligere 2.4.6-p4 og tidligere 2.4.5-p6 og tidligere 2.4.4-p7 og tidligere |
Alle |
Bemærk: For overskuelighedens skyld er de berørte versioner nu angivet for den understøttede versionsrække i stedet for kun den nyeste version.
* Disse versioner gælder kun for kunder, der deltager i det udvidede supportprogram Udvidet supportprogram
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
| Produkt | Opdateret version | Platform | Prioritetsgrad | Installationsvejledning |
|---|---|---|---|---|
| Adobe Commerce |
2.4.7 til 2.4.7-beta3 og tidligere |
Alle |
3 | 2.4.x Produktbemærkninger |
| Magento Open Source |
2.4.7 for 2.4.7-beta3 og tidligere |
Alle |
3 | |
| Bemærk: * Disse versioner gælder kun for kunder, der deltager i det udvidede supportprogram Udvidet supportprogram | ||||
Sikkerhedsoplysninger
| Sikkerhedskategori | Virkning af sikkerhedsproblem | Alvorlighed | Kræver det autentifikation at udnytte sikkerhedshullet? | Kræver det administratorrettigheder at udnytte sikkerhedshullet? |
CVSS-basisscore |
CVSS-vektor |
CVE-nummer/numre |
|---|---|---|---|---|---|---|---|
| Forkert validering af input (CWE-20) |
Vilkårlig kodekørsel |
Kritisk | Nej | Nej | 9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-20758 |
| Cross-site scripting (lagret XSS) (CWE-79) |
Vilkårlig kodekørsel |
Kritisk | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-20759 |
Bemærk:
Autentifikation er påkrævet for at udnytte: Sårbarheden kan (eller kan ikke) udnyttes uden legitimationsoplysninger.
Kræver administratorrettigheder: Sårbarheden kan (eller kan ikke) kun udnyttes, hvis angriberen har administratorrettigheder.
Tak til følgende personer
Adobe vil gerne takke følgende researchere at rapportere disse sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:
- Blaklis - CVE-2024-20758
- truff – CVE-2024-20759
BEMÆRK: Adobe har et privat bug bounty-program med HackerOne, som kun er åbent for inviterede. Hvis du er interesseret i at arbejde med Adobe som ekstern sikkerhedsforsker, kan du udfylde denne formular for de næste trin.
Revisioner
26. juni 2024 - Fjernede oplysninger om ophør af udvidet support på produktversioner, der var forkert angivet i tabellerne med oplysninger om berørte versioner og løsninger
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.
