Bulletin-ID
Sidst opdateret den
25. nov. 2024
Sikkerhedsopdatering tilgængelig til Adobe Commerce | APSB24-90
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB24-90 |
12. november 2024 |
3 |
Resumé
Adobe har udgivet en sikkerhedsopdatering til Adobe Commerce og Magento Open Source-funktioner, der drives af Commerce Services og implementeres som SaaS (software som en tjeneste). Denne opdatering løser et kritisk sikkerhedsproblem. Udnyttelse af disse sikkerhedsproblemer kan medføre vilkårlig kodekørsel.
Adobe er ikke bekendt med, at der skulle være exploits i omløb for nogen af de problemer, der behandles i disse opdateringer.
Berørte versioner
| Produkt | Version | Platform |
|---|---|---|
| Adobe Commerce og Magento Open Source, der drives af Commerce Services og implementeres som SaaS (software som en tjeneste). (Commerce Services Connector) | 3.2.5 og tidligere | Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
| Produkt | Opdateret version | Platform | Prioritetsgrad | Installationsvejledning |
|---|---|---|---|---|
| Adobe Commerce og Magento Open Source, der drives af Commerce Services og implementeres som SaaS (software som en tjeneste). (Commerce Services Connector) | 3.2.6 |
Alle |
3 |
|
Sikkerhedsoplysninger
| Sikkerhedskategori | Virkning af sikkerhedsproblem | Alvorlighed | Kræver det autentifikation at udnytte sikkerhedshullet? | Kræver det administratorrettigheder at udnytte sikkerhedshullet? |
CVSS-basisscore |
CVSS-vektor |
CVE-nummer/numre | Noter |
|---|---|---|---|---|---|---|---|---|
| Forfalskning af anmodninger på serversiden (SSRF) (CWE-918) |
Vilkårlig kodekørsel |
Kritisk |
Ja | Ja | 7.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
CVE-2024-49521 |
Bemærk:
Autentifikation er påkrævet for at udnytte: Sårbarheden kan (eller kan ikke) udnyttes uden legitimationsoplysninger.
Kræver administratorrettigheder: Sårbarheden kan (eller kan ikke) kun udnyttes, hvis angriberen har administratorrettigheder.
Tak til følgende personer
Adobe vil gerne takke følgende researchere at rapportere disse sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:
- Akash Hamal (akashhamal0x01) – CVE-2024-49521
BEMÆRK: Adobe har et privat bug bounty-program med HackerOne, som kun er åbent for inviterede. Hvis du er interesseret i at arbejde med Adobe som ekstern sikkerhedsforsker, kan du udfylde denne formular for de næste trin.
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.
