Bulletin-ID
Sidst opdateret den
26. jul. 2024
Sikkerhedsopdatering til Adobe Commerce | APSB24-40
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB24-40 |
11. juni 2024 |
1 |
Resumé
Adobe har udgivet en sikkerhedsopdatering til Adobe Commerce, Magento Open Source og Adobe Commerce Webhooks-pluginnet. Denne opdatering løser kritiske og vigtige sikkerhedsproblemer. Udnyttelse af dette sikkerhedsproblem kan medføre eksekvering af vilkårlig kode, omgåelse af sikkerhedsfunktioner og eskalering af rettigheder.
Adobe er klar over, at CVE-2024-34102 er blevet brugt til et begrænset antal angreb rettet mod brugere af Adobe Commerce.
Berørte versioner
| Produkt | Version | Platform |
|---|---|---|
| Adobe Commerce |
2.4.7 og tidligere 2.4.6-p5 og tidligere 2.4.5-p7 og tidligere 2.4.4-p8 og tidligere 2.4.3-ext-7 og tidligere* 2.4.2-ext-7 og tidligere* |
Alle |
| Magento Open Source | 2.4.7 og tidligere 2.4.6-p5 og tidligere 2.4.5-p7 og tidligere 2.4.4-p8 og tidligere |
Alle |
| Adobe Commerce Webhooks-plugin |
1.2.0 til 1.4.0 |
Manuel installation af plugin |
Bemærk: For overskuelighedens skyld er de berørte versioner nu angivet for den understøttede versionsrække i stedet for kun den nyeste version.
* Disse versioner gælder kun for kunder, der deltager i det udvidede supportprogram Udvidet supportprogram
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
| Produkt | Opdateret version | Platform | Prioritetsgrad | Installationsvejledning |
|---|---|---|---|---|
| Adobe Commerce |
2.4.7-p1 til 2.4.7 og tidligere |
Alle |
1 | 2.4.x Produktbemærkninger |
| Magento Open Source |
2.4.7-p1 til 2.4.7 og tidligere |
Alle |
1 | |
| Adobe Commerce Webhooks-plugin |
1.5.0 | Manuel installation af plugin | 1 | Opgraderingsmoduler og udvidelser |
| Adobe Commerce og Magento Open Source | Specifik patch til CVE-2024-34102: ACSD-60241
Kompatibel med alle Adobe Commerce- og Magento Open Source-versioner fra 2.4.4 til 2.4.7 |
Alle | 1 | Produktbemærkninger til den specifikke patch
|
| Bemærk: * Disse versioner gælder kun for kunder, der deltager i det udvidede supportprogram Udvidet supportprogram | ||||
Sikkerhedsoplysninger
| Sikkerhedskategori | Virkning af sikkerhedsproblem | Alvorlighed | Kræver det autentifikation at udnytte sikkerhedshullet? | Kræver det administratorrettigheder at udnytte sikkerhedshullet? |
CVSS-basisscore |
CVSS-vektor |
CVE-nummer/numre | Noter |
|---|---|---|---|---|---|---|---|---|
| Forfalskning af anmodninger på serversiden (SSRF) (CWE-918) |
Vilkårlig kodekørsel |
Kritisk | Ja | Ja | 8.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
CVE-2024-34111 |
Ingen |
| Ukorrekt begrænsning af XXE (XML External Entity) (CWE-611) |
Vilkårlig kodekørsel |
Kritisk | Nej | Nej | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-34102 |
Ingen |
| Ukorrekt authentication (CWE-287) |
Eskalering af rettigheder |
Kritisk | Nej | Nej | 8.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-34103 |
Ingen |
| Ukorrekt autorisation (CWE-285) |
Sikkerhedsomgåelse |
Kritisk |
Ja | Nej | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-34104 |
Ingen |
| Forkert validering af input (CWE-20) |
Vilkårlig kodekørsel |
Kritisk |
Ja |
Ja |
9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34108
|
Adobe Commerce Webhooks-plugin |
| Forkert validering af input (CWE-20) |
Vilkårlig kodekørsel |
Kritisk | Ja |
Ja |
8.0 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34109 | Adobe Commerce Webhooks-plugin |
| Ubegrænset upload af fil med farlig type (CWE-434) |
Vilkårlig kodekørsel |
Kritisk | Ja |
Ja |
8.0 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34110 | Adobe Commerce Webhooks-plugin |
| Cross-site scripting (lagret XSS) (CWE-79) |
Vilkårlig kodekørsel |
Vigtig | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-34105 | Ingen |
| Ukorrekt authentication (CWE-287) |
Sikkerhedsomgåelse |
Vigtigt | Ja | Nej | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-34106 | Ingen |
| Ukorrekt adgangskontrol (CWE-284) |
Sikkerhedsomgåelse |
Vigtigt |
Nej | Nej | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-34107 | Ingen |
Bemærk:
Autentifikation er påkrævet for at udnytte: Sårbarheden kan (eller kan ikke) udnyttes uden legitimationsoplysninger.
Kræver administratorrettigheder: Sårbarheden kan (eller kan ikke) kun udnyttes, hvis angriberen har administratorrettigheder.
Tak til følgende personer
Adobe vil gerne takke følgende researchere at rapportere disse sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:
- wohlie – CVE-2024-34108, CVE-2024-34109, CVE-2024-34110
- T.H. Lassche (thlassche) – CVE-2024-34104, CVE-2024-34107
- spacewasp – CVE-2024-34102
- persata – CVE-2024-34103
- Geluchat (geluchat) – CVE-2024-34105
- Akash Hamal (akashhamal0x01) – CVE-2024-34111
- pranoy_2022 – CVE-2024-34106
BEMÆRK: Adobe har et privat bug bounty-program med HackerOne, som kun er åbent for inviterede. Hvis du er interesseret i at arbejde med Adobe som ekstern sikkerhedsforsker, kan du udfylde denne formular for de næste trin.
Revisioner
8. juli 2024:
- Prioritet ændret til 1.
27. juni 2024:
- Adobe har udgivet en specifik patch til CVE-2024-34102.
26. juni 2024:
- Ændrede bulletinprioriteten fra 3 til 2. Adobe er klar over, at der allerede findes en beskrivelse af CVE-2024-34102.
- Fjernede oplysninger om ophør af udvidet support på produktversioner, der var forkert angivet i tabellerne med oplysninger om berørte versioner og løsninger
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.
