Tiedotteen tunnus
Päivitetty viimeksi
26. elokuuta 2024
Adobe Commercen tietoturvapäivitys | APSB24-61
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB24-61 |
13. elokuuta 2024 |
3 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Commercea ja Magento Open Sourcea varten. Tämä päivitys ratkaisee kriittisiä, tärkeitä ja kohtalaisia haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaiseen koodin suorittamiseen, mielivaltaiseen tiedostojärjestelmän lukuun, tietoturvaominaisuuksien ohitukseen ja käyttöoikeuksien laajennukseen.
Versiot
| Tuote | Versio | Ympäristö |
|---|---|---|
| Adobe Commerce |
2.4.7-p1 ja aiemmat versiot 2.4.6-p6 ja aiemmat versiot 2.4.5-p8 ja aiemmat versiot 2.4.4-p9 ja aiemmat versiot |
Kaikki |
| Magento Open Source | 2.4.7-p1 ja aiemmat versiot 2.4.6-p6 ja aiemmat versiot 2.4.5-p8 ja aiemmat versiot 2.4.4-p9 ja aiemmat versiot |
Kaikki |
Huomautus: Selkeyden vuoksi versiot, joita asia koskee, on nyt lueteltu tuettujen versioiden mukaan pelkkien uusimpien versioiden sijaan.
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
| Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Asennusohjeet |
|---|---|---|---|---|
| Adobe Commerce |
2.4.7-p2 2.4.7-p1:lle ja aiemmille versioille |
Kaikki |
3 | Version 2.4.x julkaisutiedot |
| Magento Open Source |
2.4.7-p2 2.4.7-p1:lle ja aiemmille versioille |
Kaikki |
3 | |
| Adobe Commerce ja Magento Open Source | Erillinen korjaus haavoittuvuudelle CVE-2024-39397
Yhteensopiva kaikkien Adobe Commercen ja Magento Open Sourcen versioiden kanssa välillä 2.4.4–2.4.7 |
Kaikki | 3 | Haavoittuvuuden CVE-2024-39397 erillisen korjauksen julkaisutiedot
|
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | Vaatiiko hyödyntäminen tunnistautumista? | Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia? |
CVSS-peruspisteet |
CVSS-vektori |
CVE-numerot | Huomautukset |
|---|---|---|---|---|---|---|---|---|
| Vaarallisen tyyppisen tiedoston rajoittamaton lataaminen (CWE-434) |
Mielivaltaisen koodin suoritus |
Kriittinen |
Ei | Ei | 9.0 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-39397 | Koskee vain Apache-verkkopalvelinta käyttäviä kauppiaita |
| Liian monien todennusyritysten virheellinen rajoittaminen (CWE-307) |
Tietoturvaominaisuuden ohitus |
Kriittinen |
Kyllä | Kyllä | 7.4 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
CVE-2024-39398 | |
| Polun nimen virheellinen rajoittaminen kiellettyyn hakemistoon (”Polun vaihtuminen”) (CWE-22) |
Mielivaltainen tiedostojärjestelmän luku |
Kriittinen |
Kyllä | Kyllä | 7.7 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
CVE-2024-39399 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Kriittinen |
Kyllä | Kyllä | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-39400 | |
| Käyttöjärjestelmän komennossa käytettyjen erikoiselementtien virheellinen neutralointi (”Käyttöjärjestelmän komennon injektointi”) (CWE-78) |
Mielivaltaisen koodin suoritus |
Kriittinen |
Kyllä | Kyllä | 8.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
CVE-2024-39401 | |
| Käyttöjärjestelmän komennossa käytettyjen erikoiselementtien virheellinen neutralointi (”Käyttöjärjestelmän komennon injektointi”) (CWE-78) |
Mielivaltaisen koodin suoritus |
Kriittinen |
Kyllä | Kyllä | 8.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H | CVE-2024-39402 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Kriittinen |
Kyllä | Kyllä | 7.6 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N |
CVE-2024-39403 | |
| Tietojen paljastuminen (CWE-200) |
Tietoturvaominaisuuden ohitus |
Tärkeä | Kyllä | Kyllä | 6.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2024-39406 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Käyttöoikeuksien laajennus |
Kohtalainen | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39404 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39405 | |
| Virheellinen valtuutus (CWE-863) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39407 | |
| Sivustojen välisten pyyntöjen väärennös (CSRF) (CWE-352) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Ei | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-39408 | |
| Sivustojen välisten pyyntöjen väärennös (CSRF) (CWE-352) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Ei | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-39409 | |
| Sivustojen välisten pyyntöjen väärennös (CSRF) (CWE-352) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Ei | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39410 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Käyttöoikeuksien laajennus |
Kohtalainen | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39411 | |
| Virheellinen valtuutus (CWE-285) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39412 | |
| Virheellinen valtuutus (CWE-285) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39413 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Käyttöoikeuksien laajennus |
Kohtalainen | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39414 | |
| Virheellinen valtuutus (CWE-285) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39415 | |
| Virheellinen valtuutus (CWE-285) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | CVE-2024-39416 | |
| Virheellinen valtuutus (CWE-285) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39417 | |
| Virheellinen valtuutus (CWE-285) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | CVE-2024-39418 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Käyttöoikeuksien laajennus |
Kohtalainen | Kyllä | Kyllä | 4.3 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39419 |
Huomautus:
Hyödyntäminen edellyttää tunnistautumista: Haavoittuvuus on (tai ei ole) hyödynnettävissä ilman tunnistetietoja.
Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia: Haavoittuvuutta voi (tai ei voi) hyödyntää vain hyökkääjä, jolla on järjestelmänvalvojan oikeudet.
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Akash Hamal (akashhamal0x01) – CVE-2024-39404, CVE-2024-39405, CVE-2024-39407, CVE-2024-39411, CVE-2024-39412, CVE-2024-39413, CVE-2024-39414, CVE-2024-39415, CVE-2024-39416, CVE-2024-39417, CVE-2024-39418, CVE-2024-39419
- wohlie – CVE-2024-39401, CVE-2024-39402, CVE-2024-39403
- Javier Corral (corraldev) – CVE-2024-39398, CVE-2024-39400
- Alexandrio (alexandrio) – CVE-2024-39408, CVE-2024-39409
- Blaklis (blaklis) – CVE-2024-39406, CVE-2024-39410
- T.H. Lassche (thlassche) – CVE-2024-39397
- Icare (icare) – CVE-2024-39399
HUOMAUTUS: Adobella on HackerOnessa yksityinen, vain kutsutuille tarkoitettu buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, täytä tämä lomake, niin saat ohjeet.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
