Tiedotteen tunnus
Päivitetty viimeksi
26. heinäkuuta 2024
Adobe Commercen tietoturvapäivitys | APSB24-40
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB24-40 |
11. kesäkuuta 2024 |
1 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Commerce-, Magento Open Source- ja Adobe Commerce Webhooks -laajennuksiin. Tämä päivitys korjaa kriittisiä ja tärkeitä haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suorittamiseen, tietoturvaominaisuuksien ohittamiseen ja käyttöoikeuksien laajennukseen.
Adobe on tietoinen siitä, että haavoittuvuutta CVE-2024-34102 on hyödynnetty hyvin rajoitetuissa hyökkäyksissä, jotka kohdistuvat Adobe Commerce -kauppiaisiin.
Versiot
| Tuote | Versio | Ympäristö |
|---|---|---|
| Adobe Commerce |
2.4.7 ja aiemmat versiot 2.4.6-p5 ja aiemmat versiot 2.4.5-p7 ja aiemmat versiot 2.4.4-p8 ja aiemmat versiot 2.4.3-ext-7 ja aiemmat versiot* 2.4.2-ext-7 ja aiemmat versiot* |
Kaikki |
| Magento Open Source | 2.4.7 ja aiemmat versiot 2.4.6-p5 ja aiemmat versiot 2.4.5-p7 ja aiemmat versiot 2.4.4-p8 ja aiemmat versiot |
Kaikki |
| Adobe Commerce Webhooks -laajennus |
1.2.0–1.4.0 |
Manuaalinen laajennuksen asennus |
Huomautus: Selkeyden vuoksi versiot, joita asia koskee, on nyt lueteltu tuettujen versioiden mukaan pelkkien uusimpien versioiden sijaan.
* Nämä versiot koskevat vain asiakkaita, jotka osallistuvat laajennettuun tukiohjelmaan
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
| Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Asennusohjeet |
|---|---|---|---|---|
| Adobe Commerce |
2.4.7-p1 2.4.7-versiolle ja aiemmille versioille |
Kaikki |
1 | Version 2.4.x julkaisutiedot |
| Magento Open Source |
2.4.7-p1 2.4.7:lle ja aiemmille versioille |
Kaikki |
1 | |
| Adobe Commerce Webhooks -laajennus |
1.5.0 | Manuaalinen laajennuksen asennus | 1 | Moduulien ja laajennusten päivittäminen |
| Adobe Commerce ja Magento Open Source | Erillinen korjaus CVE-2024-34102:lle: ACSD-60241
Yhteensopiva kaikkien Adobe Commercen ja Magento Open Sourcen versioiden kanssa välillä 2.4.4–2.4.7 |
Kaikki | 1 | Erillisen korjauksen julkaisutiedot
|
| Huomautus: * Nämä versiot koskevat vain asiakkaita, jotka osallistuvat laajennettuun tukiohjelmaan | ||||
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | Vaatiiko hyödyntäminen tunnistautumista? | Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia? |
CVSS-peruspisteet |
CVSS-vektori |
CVE-numerot | Huomautukset |
|---|---|---|---|---|---|---|---|---|
| Palvelinpuolen pyynnön väärennös (SSRF) (CWE-918) |
Mielivaltaisen koodin suoritus |
Kriittinen | Kyllä | Kyllä | 8.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
CVE-2024-34111 |
Ei mitään |
| Sopimaton XML:n ulkoisen kohteen viitteen rajoitus (XXE) (CWE-611) |
Mielivaltaisen koodin suoritus |
Kriittinen | Ei | Ei | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-34102 |
Ei mitään |
| Virheellinen todennus (CWE-287) |
Käyttöoikeuksien laajennus |
Kriittinen | Ei | Ei | 8.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-34103 |
Ei mitään |
| Virheellinen valtuutus (CWE-285) |
Tietoturvaominaisuuden ohitus |
Kriittinen |
Kyllä | Ei | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-34104 |
Ei mitään |
| Virheellinen syötteen tarkistus (CWE-20) |
Mielivaltaisen koodin suoritus |
Kriittinen |
Kyllä |
Kyllä |
9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34108
|
Adobe Commerce Webhooks -laajennus |
| Virheellinen syötteen tarkistus (CWE-20) |
Mielivaltaisen koodin suoritus |
Kriittinen | Kyllä |
Kyllä |
8.0 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34109 | Adobe Commerce Webhooks -laajennus |
| Vaarallisen tyyppisen tiedoston rajoittamaton lataaminen (CWE-434) |
Mielivaltaisen koodin suoritus |
Kriittinen | Kyllä |
Kyllä |
8.0 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34110 | Adobe Commerce Webhooks -laajennus |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä | Kyllä | Kyllä | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-34105 | Ei mitään |
| Virheellinen todennus (CWE-287) |
Tietoturvaominaisuuden ohitus |
Tärkeä | Kyllä | Ei | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-34106 | Ei mitään |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Tietoturvaominaisuuden ohitus |
Tärkeä |
Ei | Ei | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-34107 | Ei mitään |
Huomautus:
Hyödyntäminen edellyttää tunnistautumista: Haavoittuvuus on (tai ei ole) hyödynnettävissä ilman tunnistetietoja.
Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia: Haavoittuvuutta voi (tai ei voi) hyödyntää vain hyökkääjä, jolla on järjestelmänvalvojan oikeudet.
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- wohlie – CVE-2024-34108, CVE-2024-34109, CVE-2024-34110
- T.H. Lassche (thlassche) – CVE-2024-34104, CVE-2024-34107
- spacewasp – CVE-2024-34102
- persata – CVE-2024-34103
- Geluchat (geluchat) – CVE-2024-34105
- Akash Hamal (akashhamal0x01) – CVE-2024-34111
- pranoy_2022 – CVE-2024-34106
HUOMAUTUS: Adobella on HackerOnessa yksityinen, vain kutsutuille tarkoitettu buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, täytä tämä lomake, niin saat ohjeet.
Versiot
8. heinäkuuta 2024:
- Prioriteetiksi muutettu 1.
27. kesäkuuta 2024:
- Adobe on toimittanut erillisen korjauksen CVE-2024-34102:lle.
26. kesäkuuta 2024:
- Tarkistettu tiedotteen prioriteettia 3:sta 2:een. Adobe on tietoinen siitä, että CVE-2024-34102:een liittyy julkisesti saatavilla oleva kirjoitus.
- Poistettu soveltumattomat, elinkaarensa lopussa olevat laajennetun tuen versiot taulukoista Versiot ja Ratkaisuversiot
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
