Tiedotteen tunnus
Päivitetty viimeksi
5. heinäkuuta 2024
Adobe Commercen tietoturvapäivitys | APSB24-03
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB24-03 |
13. helmikuuta 2024 |
3 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Commercea ja Magento Open Sourcea varten. Tämä päivitys ratkaisee kriittisiä, tärkeitä ja kohtalaisia haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaiseen koodin suorittamiseen, tietoturvaominaisuuksien ohitukseen ja sovelluksen palvelunestoon.
Versiot
| Tuote | Versio | Ympäristö |
|---|---|---|
| Adobe Commerce |
2.4.6-p3 ja aiemmat versiot 2.4.5-p5 ja aiemmat versiot 2.4.4-p6 ja aiemmat versiot 2.4.3-ext-5 ja aiemmat versiot* 2.4.2-ext-5 ja aiemmat versiot* |
Kaikki |
| Magento Open Source | 2.4.6-p3 ja aiemmat versiot 2.4.5-p5 ja aiemmat versiot 2.4.4-p6 ja aiemmat versiot |
Kaikki |
Huomautus: Selkeyden vuoksi versiot, joita asia koskee, on nyt lueteltu tuettujen versioiden mukaan pelkkien uusimpien versioiden sijaan.
* Nämä versiot koskevat vain asiakkaita, jotka osallistuvat laajennettuun tukiohjelmaan
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
| Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Asennusohjeet |
|---|---|---|---|---|
| Adobe Commerce |
2.4.6-p4 2.4.6-p3-versiolle ja aiemmille versioille |
Kaikki |
3 | Version 2.4.x julkaisutiedot |
| Magento Open Source |
2.4.6-p4 versiolle 2.4.6-p3 ja aiemmille versioille |
Kaikki |
3 | |
| Huomautus: * Nämä versiot koskevat vain asiakkaita, jotka osallistuvat laajennettuun tukiohjelmaan | ||||
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | Vaatiiko hyödyntäminen tunnistautumista? | Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia? |
CVSS-peruspisteet |
CVSS-vektori |
CVE-numerot |
|---|---|---|---|---|---|---|---|
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus |
Kriittinen | Kyllä | Kyllä | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2024-20719 |
| Käyttöjärjestelmän komennossa käytettyjen erikoiselementtien virheellinen neutralointi (”Käyttöjärjestelmän komennon injektointi”) (CWE-78) | Mielivaltaisen koodin suoritus |
Kriittinen | Kyllä | Kyllä | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2024-20720 |
| Resurssien hallitsematon kulutus (CWE-400) | Sovelluksen palvelunesto | Tärkeä | Kyllä | Kyllä | 5.7 | CVSS:3.1/AV:A/AC:L/PR:H/UI:R/S:C/C:N/I:N/A:H | CVE-2024-20716 |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus | Tärkeä | Kyllä | Kyllä | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20717 |
| Sivustojen välisten pyyntöjen väärennös (CSRF) (CWE-352) | Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Ei | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2024-20718 |
Huomautus:
Hyödyntäminen edellyttää tunnistautumista: Haavoittuvuus on (tai ei ole) hyödynnettävissä ilman tunnistetietoja.
Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia: Haavoittuvuutta voi (tai ei voi) hyödyntää vain hyökkääjä, jolla on järjestelmänvalvojan oikeudet.
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Blaklis – CVE-2024-20719, CVE-2024-20720
- Rafael Corrêa Gomes (rafaelcg) – CVE-2024-20716
- lboy – CVE-2024-20717
- Alexandrio – CVE-2024-20718
HUOMAUTUS: Adobella on HackerOnessa yksityinen, vain kutsutuille tarkoitettu buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, täytä tämä lomake, niin saat ohjeet.
Versiot
26. kesäkuuta 2024 – Poistettu soveltumattomat, elinkaarensa lopussa olevat laajennetun tuen versiot taulukoista Versiot ja Ratkaisuversiot
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
