Tiedotteen tunnus
Päivitetty viimeksi
5. heinäkuuta 2024
Adobe Commercen tietoturvapäivitys | APSB24-18
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB24-18 |
9. huhtikuuta 2024 |
3 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Commercea ja Magento Open Sourcea varten. Tämä päivitys korjaa kriittisiä haavoittuvuuksia. Haavoittuvuuksien onnistunut hyödyntäminen voi johtaa satunnaisten koodien suorittamiseen.
Versiot
| Tuote | Versio | Ympäristö |
|---|---|---|
| Adobe Commerce |
2.4.7-beta3 ja aiemmat versiot 2.4.6-p4 ja aiemmat versiot 2.4.5-p6 ja aiemmat versiot 2.4.4-p7 ja aiemmat versiot 2.4.3-ext-6 ja aiemmat versiot* 2.4.2-ext-6 ja aiemmat versiot* |
Kaikki |
| Magento Open Source | 2.4.7-beta3 ja aiemmat versiot 2.4.6-p4 ja aiemmat versiot 2.4.5-p6 ja aiemmat versiot 2.4.4-p7 ja aiemmat versiot |
Kaikki |
Huomautus: Selkeyden vuoksi versiot, joita asia koskee, on nyt lueteltu tuettujen versioiden mukaan pelkkien uusimpien versioiden sijaan.
* Nämä versiot koskevat vain asiakkaita, jotka osallistuvat laajennettuun tukiohjelmaan
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
| Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Asennusohjeet |
|---|---|---|---|---|
| Adobe Commerce |
2.4.7 2.4.7-beta3-versiolle ja aiemmille versioille |
Kaikki |
3 | Version 2.4.x julkaisutiedot |
| Magento Open Source |
2.4.7 2.4.7-beta3-versiolle ja aiemmille versioille |
Kaikki |
3 | |
| Huomautus: * Nämä versiot koskevat vain asiakkaita, jotka osallistuvat laajennettuun tukiohjelmaan | ||||
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | Vaatiiko hyödyntäminen tunnistautumista? | Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia? |
CVSS-peruspisteet |
CVSS-vektori |
CVE-numerot |
|---|---|---|---|---|---|---|---|
| Virheellinen syötteen tarkistus (CWE-20) |
Mielivaltaisen koodin suoritus |
Kriittinen | Ei | Ei | 9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-20758 |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Kriittinen | Kyllä | Kyllä | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-20759 |
Huomautus:
Hyödyntäminen edellyttää tunnistautumista: Haavoittuvuus on (tai ei ole) hyödynnettävissä ilman tunnistetietoja.
Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia: Haavoittuvuutta voi (tai ei voi) hyödyntää vain hyökkääjä, jolla on järjestelmänvalvojan oikeudet.
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Blaklis – CVE-2024-20758
- truff – CVE-2024-20759
HUOMAUTUS: Adobella on HackerOnessa yksityinen, vain kutsutuille tarkoitettu buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, täytä tämä lomake, niin saat ohjeet.
Versiot
26. kesäkuuta 2024 – Poistettu soveltumattomat, elinkaarensa lopussa olevat laajennetun tuen versiot taulukoista Versiot ja Ratkaisuversiot
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
