Boletín de seguridad de Adobe

Actualización de seguridad disponible para Adobe Commerce | APSB24-40

ID del boletín

Fecha de publicación

Prioridad

APSB24-40

11 de junio de 2024

1

Resumen

Adobe ha publicado una actualización de seguridad para Adobe Commerce,  Magento Open Source y el plug-in Adobe Commerce Webhooks. Esta actualización soluciona vulnerabilidades críticas e importantes.  Esta vulnerabilidad podría dar lugar a la ejecución de código arbitrario, la omisión de la función de seguridad y la ampliación de privilegios.

Adobe es consciente de que CVE-2024-34102 se ha explotado en ataques muy limitados dirigidos a comerciantes de Adobe Commerce.

Versiones afectadas

Producto Versión Plataforma
 Adobe Commerce
2.4.7 y versiones anteriores
2.4.6-p5 y versiones anteriores
2.4.5-p7 y versiones anteriores
2.4.4-p8 y versiones anteriores
2.4.3-ext-7 y versiones anteriores*
2.4.2-ext-7 y versiones anteriores*
Todas
Magento Open Source 2.4.7 y versiones anteriores
2.4.6-p5 y versiones anteriores
2.4.5-p7 y versiones anteriores
2.4.4-p8 y versiones anteriores
Todas
Plug-in Adobe Commerce Webhooks
1.2.0 a 1.4.0
Instalación manual del plug-in

Nota: Para mayor claridad, las versiones afectadas se indican aquí para cada versión admitida en lugar de solo las versiones más recientes.

* Estas versiones solo son aplicables a los clientes que participan en el Programa de asistencia ampliada

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.

Producto Versión actualizada Plataforma Nivel de prioridad Instrucciones de instalación
Adobe Commerce

2.4.7-p1 para 2.4.7 y versiones anteriores
2.4.6-p6 para 2.4.6-p5 y versiones anteriores
2.4.5-p8 para 2.4.5-p7 y versiones anteriores
2.4.4-p9 para 2.4.4-p8 y versiones anteriores
2.4.3-ext-8 para 2.4.3-ext-7 y versiones anteriores*
2.4.2-ext-8 para 2.4.2-ext-7 y versiones anteriores*

Todas
1 Notas de la versión 2.4.x
Magento Open Source 

2.4.7-p1 para 2.4.7 y versiones anteriores
2.4.6-p6 para 2.4.6-p5 y versiones anteriores
2.4.5-p8 para 2.4.5-p7 y versiones anteriores
2.4.4-p9 para 2.4.4-p8 y versiones anteriores

Todas
1
Plug-in Adobe Commerce Webhooks
1.5.0 Instalación manual del plug-in 1 Actualización de módulos y extensiones
Adobe Commerce y Magento Open Source 

Parche aislado para CVE-2024-34102: ACSD-60241

 

Compatible con todas las versiones de Adobe Commerce y Magento Open Source entre 2.4.4 y 2.4.7

Todas 1

Notas de la versión de parche aislado 

 

Nota: * Estas versiones solo son aplicables a los clientes que participan en el Programa de asistencia ampliada

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad ¿Se requiere autenticación para la explotación? ¿La explotación requiere privilegios de administrador?
Puntuación base CVSS
Vector CVSS
Número(s) CVE Notas
Falsificación de solicitud del servidor (SSRF) (CWE-918)
Ejecución de código arbitraria
Crítica 8.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
CVE-2024-34111
Ninguna
Restricción incorrecta de la referencia de entidades externas ('XXE') (CWE-611)
Ejecución de código arbitraria
Crítica No No 9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2024-34102
Ninguna
Autenticación incorrecta (CWE-287)
Ampliación de privilegios
Crítica No No 8.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2024-34103
Ninguna
Autorización incorrecta (CWE-285)
Omisión de la función de seguridad
Crítica
No 8.2 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
CVE-2024-34104
Ninguna
Validación incorrecta de la entrada (CWE-20)
Ejecución de código arbitraria
Crítica


9.1 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2024-34108     

 

Plug-in Adobe Commerce Webhooks
Validación incorrecta de la entrada (CWE-20)
Ejecución de código arbitraria
Crítica

8.0 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CVE-2024-34109 Plug-in Adobe Commerce Webhooks
Carga sin restricciones de archivos de tipo peligroso (CWE-434)
Ejecución de código arbitraria
Crítica

8.0 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CVE-2024-34110 Plug-in Adobe Commerce Webhooks
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
Ejecución de código arbitraria
Importante 4.8 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
CVE-2024-34105 Ninguna
Autenticación incorrecta (CWE-287)
Omisión de la función de seguridad
Importante No 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
CVE-2024-34106 Ninguna
Control de acceso incorrecto (CWE-284)
Omisión de la función de seguridad
Importante
No No 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CVE-2024-34107 Ninguna
Nota:

Autenticación necesaria para explotación: La vulnerabilidad se puede (o no se puede) explotar sin credenciales.


La explotación requiere privilegios de administrador:  La vulnerabilidad la puede explotar (o no) un atacante con provilegios de administrador.

Reconocimientos

Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:

  • wohlie - CVE-2024-34108, CVE-2024-34109, CVE-2024-34110
  • T.H. Lassche (thlassche) - CVE-2024-34104, CVE-2024-34107
  • spacewasp - CVE-2024-34102
  • persata - CVE-2024-34103
  • Geluchat (geluchat) - CVE-2024-34105
  • Akash Hamal (akashhamal0x01) - CVE-2024-34111
  • pranoy_2022 - CVE-2024-34106

NOTA: Adobe tiene un programa privado de detección de errores con HackerOne (solo con invitación). Si le interesa trabajar con Adobe como investigador de seguridad externo, rellene este formulario para los siguientes pasos.

Revisiones

8 de julio de 2024:

  1. Prioridad revisada a 1.

27 de junio de 2024: 

  1. Adobe ha proporcionado un parche aislado para CVE-2024-34102. 

26 de junio de 2024:

  1. Prioridad de boletín revisado de 3 a 2. Adobe tiene constancia de la existencia de un escrito relacionado con CVE-2024-34102 que está disponible públicamente.
  2. Se han eliminado las versiones de soporte ampliado del final de vida útil de las tablas de versiones afectadas y de soluciones

Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea