Boletín de seguridad de Adobe

Actualización de seguridad disponible para Adobe Commerce | APSB24-61

ID del boletín

Fecha de publicación

Prioridad

APSB24-61

13 de agosto de 2024

3

Resumen

Adobe ha publicado una actualización de seguridad para Adobe Commerce y Magento Open Source. Esta actualización soluciona vulnerabilidades críticasimportantes y moderadas.  Esta vulnerabilidad podría dar lugar a la ejecución arbitraria del código, la lectura arbitraria del sistema de archivos y la ampliación de privilegios.

Versiones afectadas

Producto Versión Plataforma
 Adobe Commerce
2.4.7-p1 y versiones anteriores
2.4.6-p6 y versiones anteriores
2.4.5-p8 y versiones anteriores
2.4.4-p9 y versiones anteriores
Todas
Magento Open Source 2.4.7-p1 y versiones anteriores
2.4.6-p6 y versiones anteriores
2.4.5-p8 y versiones anteriores
2.4.4-p9 y versiones anteriores
Todas

Nota: Para mayor claridad, las versiones afectadas se indican aquí para cada versión admitida en lugar de solo las versiones más recientes.

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.

Producto Versión actualizada Plataforma Nivel de prioridad Instrucciones de instalación
Adobe Commerce

2.4.7-p2 para 2.4.7-p1 y versiones anteriores
2.4.6-p7 para 2.4.6-p6 y versiones anteriores
2.4.5-p9 para 2.4.5-p8 y versiones anteriores
2.4.4-p10 para 2.4.4-p9 y versiones anteriores

Todas
3 Notas de la versión 2.4.x
Magento Open Source 

2.4.7-p2 para 2.4.7-p1 y versiones anteriores
2.4.6-p7 para 2.4.6-p6 y versiones anteriores
2.4.5-p9 para 2.4.5-p8 y versiones anteriores
2.4.4-p10 para 2.4.4-p9 y versiones anteriores

Todas
3
Adobe Commerce y Magento Open Source 

Parche aislado para CVE-2024-39397

 

Compatible con todas las versiones de Adobe Commerce y Magento Open Source entre 2.4.4 y 2.4.7

Todas 3

Notas de la versión de parche aislado en CVE-2024-39397

 

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad ¿Se requiere autenticación para la explotación? ¿La explotación requiere privilegios de administrador?
Puntuación base CVSS
Vector CVSS
Número(s) CVE Notas
Carga sin restricciones de archivos de tipo peligroso (CWE-434)
Ejecución de código arbitraria
Crítico
No No 9.0 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
CVE-2024-39397 Solo afecta a los comerciantes que utilizan el servidor web de Apache
Restricción incorrecta por demasiados intentos de autenticación (CWE-307)
Omisión de la función de seguridad
Crítica
7.4 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
CVE-2024-39398  
Limitación incorrecta de un nombre de ruta a un directorio restringido ('Travesía de ruta') (CWE-22)
Lectura arbitraria del sistema de archivos
Crítica
7.7 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
CVE-2024-39399  
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
Ejecución de código arbitraria
Crítica
8.1 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N
CVE-2024-39400  
Neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo ("Inyección de comandos del sistema operativo") (CWE-78)
Ejecución de código arbitraria
Crítica
8.4 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H
CVE-2024-39401  
Neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo ("Inyección de comandos del sistema operativo") (CWE-78)
Ejecución de código arbitraria
Crítica
8.4 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H CVE-2024-39402  
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
Ejecución de código arbitraria
Crítica
7.6 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N
CVE-2024-39403  
Exposición de información (CWE-200)
Omisión de la función de seguridad
Importante 6.8 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N
CVE-2024-39406  
Control de acceso incorrecto (CWE-284)
Ampliación de privilegios
Moderada 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2024-39404  
Control de acceso incorrecto (CWE-284)
Omisión de la función de seguridad
Moderada 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2024-39405  
Autorización incorrecta (CWE-863)
Omisión de la función de seguridad
Moderada 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2024-39407  
Falsificación de solicitud en sitios múltiples (CSRF) (CWE-352)
Omisión de la función de seguridad
Moderada No 4.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
CVE-2024-39408  
Falsificación de solicitud en sitios múltiples (CSRF) (CWE-352)
Omisión de la función de seguridad
Moderada No 4.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
CVE-2024-39409  
Falsificación de solicitud en sitios múltiples (CSRF) (CWE-352)
Omisión de la función de seguridad
Moderada No 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2024-39410  
Control de acceso incorrecto (CWE-284)
Ampliación de privilegios
Moderada 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
CVE-2024-39411  
Autorización incorrecta (CWE-285)
Omisión de la función de seguridad
Moderada 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2024-39412  
Autorización incorrecta (CWE-285)
Omisión de la función de seguridad
Moderada 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
CVE-2024-39413  
Control de acceso incorrecto (CWE-284)
Ampliación de privilegios
Moderada 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
CVE-2024-39414  
Autorización incorrecta (CWE-285)
Omisión de la función de seguridad
Moderada 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
CVE-2024-39415  
Autorización incorrecta (CWE-285)
Omisión de la función de seguridad
Moderada 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N CVE-2024-39416  
Autorización incorrecta (CWE-285)
Omisión de la función de seguridad
Moderada 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
CVE-2024-39417  
Autorización incorrecta (CWE-285)
Omisión de la función de seguridad
Moderada 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N CVE-2024-39418  
Control de acceso incorrecto (CWE-284)
Ampliación de privilegios
Moderada 4.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2024-39419  
Nota:

Autenticación necesaria para explotación: La vulnerabilidad se puede (o no se puede) explotar sin credenciales.


La explotación requiere privilegios de administrador:  La vulnerabilidad la puede explotar (o no) un atacante con provilegios de administrador.

Reconocimientos

Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:

  • Akash Hamal (akashhamal0x01): CVE-2024-39404, CVE-2024-39405, CVE-2024-39407, CVE-2024-39411, CVE-2024-39412, CVE-2024-39413, CVE-2024-39414, CVE-2024-39415, CVE-2024-39416, CVE-2024-39417, CVE-2024-39418, CVE-2024-39419
  • wohlie: CVE-2024-39401, CVE-2024-39402, CVE-2024-39403
  • Javier Corral (corraldev): CVE-2024-39398, CVE-2024-39400
  • Alexandrio (alexandrio): CVE-2024-39408, CVE-2024-39409
  • Blaklis (blaklis): CVE-2024-39406, CVE-2024-39410
  • T.H. Lassche (thlassche): CVE-2024-39397
  • Icare (icare): CVE-2024-39399

NOTA: Adobe tiene un programa privado de detección de errores con HackerOne (solo con invitación). Si le interesa trabajar con Adobe como investigador de seguridad externo, rellene este formulario para los siguientes pasos.


Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea