Tiedotteen tunnus
Päivitetty viimeksi
23. lokakuuta 2024
Adobe Commercen tietoturvapäivitys | APSB24-73
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB24-73 |
8. lokakuuta 2024 |
2 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Commercea ja Magento Open Sourcea varten. Tämä päivitys ratkaisee kriittisiä, tärkeitä ja kohtalaisia haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaiseen koodin suorittamiseen, mielivaltaiseen tiedostojärjestelmän lukuun, tietoturvaominaisuuksien ohitukseen ja käyttöoikeuksien laajennukseen.
Adobe ei ole tietoinen, että mitään näissä päivityksissä käsiteltyjä haavoittuvuuksia olisi hyödynnetty käytännössä.
Versiot
| Tuote | Versio | Ympäristö |
|---|---|---|
| Adobe Commerce |
2.4.7-p2 ja aiemmat versiot 2.4.6-p7 ja aiemmat versiot 2.4.5-p9 ja aiemmat versiot 2.4.4-p10 ja aiemmat versiot |
Kaikki |
| Adobe Commerce B2B |
1.4.2-p2 ja aiemmat versiot 1.3.5-p7 ja aiemmat versiot 1.3.4-p9 ja aiemmat versiot 1.3.3-p10 ja aiemmat versiot |
Kaikki |
| Magento Open Source | 2.4.7-p2 ja aiemmat versiot 2.4.6-p7 ja aiemmat versiot 2.4.5-p9 ja aiemmat versiot 2.4.4-p10 ja aiemmat versiot |
Kaikki |
Huomautus: Selkeyden vuoksi versiot, joita asia koskee, on nyt lueteltu tuettujen versioiden mukaan pelkkien uusimpien versioiden sijaan.
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
| Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Asennusohjeet |
|---|---|---|---|---|
| Adobe Commerce |
2.4.7-p3 2.4.7-p2:lle ja aiemmille versioille |
Kaikki |
3 |
Haavoittuvuuden CVE-2024-45115 erillisen korjauksen julkaisutiedot |
| Adobe Commerce B2B |
1.4.2-p3 1.4.2-p2:lle ja aiemmille versioille 1.3.5-p8 1.3.5-p7:lle ja aiemmille versioille 1.3.4-p10 1.3.4-p9:lle ja aiemmille versioille 1.3.3-p11 1.3.3-p10:lle ja aiemmille versioille |
Kaikki | 2 | |
| Adobe Commerce B2B |
Erillinen korjaus haavoittuvuudelle CVE-2024-45115 Yhteensopiva Adobe Commerce B2B -versioiden 1.3.3–1.4.2 kanssa |
Kaikki | 2 | |
| Magento Open Source |
2.4.7-p3 2.4.7-p2:lle ja aiemmille versioille |
Kaikki |
3 |
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | Vaatiiko hyödyntäminen tunnistautumista? | Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia? |
CVSS-peruspisteet |
CVSS-vektori |
CVE-numerot | Huomautukset |
|---|---|---|---|---|---|---|---|---|
| Virheellinen todennus (CWE-287) |
Käyttöoikeuksien laajennus |
Kriittinen |
Ei | Ei | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-45115 | Koskee vain B2B-versiota |
| Virheellinen todennus (CWE-287) |
Tietoturvaominaisuuden ohitus |
Kriittinen | Ei | Ei | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-45148 |
Koskee vain B2B-versiota |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Kriittinen | Kyllä | Kyllä | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-45116 | |
| Virheellinen syötteen tarkistus (CWE-20) |
Mielivaltainen tiedostojärjestelmän luku |
Kriittinen |
Kyllä | Kyllä | 7.6 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:L |
CVE-2024-45117 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Tietoturvaominaisuuden ohitus |
Tärkeä | Kyllä | Kyllä | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
CVE-2024-45118 | |
| Palvelinpuolen pyynnön väärennös (SSRF) (CWE-918) |
Mielivaltainen tiedostojärjestelmän luku |
Tärkeä | Kyllä | Kyllä | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N |
CVE-2024-45119 | |
| Tarkistusajasta käyttöaikaan (TOCTOU) -kilpailuehto (CWE-367) |
Tietoturvaominaisuuden ohitus | Kohtalainen | Kyllä | Ei | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-45120 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-45121 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Tietoturvaominaisuuden ohitus |
Kohtalainen |
Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-45122 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Kriittinen | Kyllä | Kyllä | 6.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-45123 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Tietoturvaominaisuuden ohitus |
Tärkeä | Kyllä | Ei | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-45124 | |
| Virheellinen valtuutus (CWE-863) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-45125 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Kriittinen | Kyllä | Kyllä | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-45127 | |
| Virheellinen valtuutus (CWE-285) |
Tietoturvaominaisuuden ohitus |
Tärkeä | Kyllä | Kyllä | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L |
CVE-2024-45128 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Käyttöoikeuksien laajennus |
Kohtalainen | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-45129 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-45130 | |
| Virheellinen valtuutus (CWE-285) |
Tietoturvaominaisuuden ohitus |
Tärkeä | Kyllä | Kyllä | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
CVE-2024-45131 | |
| Virheellinen valtuutus (CWE-285) |
Käyttöoikeuksien laajennus |
Tärkeä | Kyllä | Kyllä | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2024-45132 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Kyllä | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-45133 | |
| Tietojen paljastuminen (CWE-200) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Kyllä | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-45134 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Ei | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-45135 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Tietoturvaominaisuuden ohitus |
Kohtalainen |
Kyllä | Kyllä | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-45149 |
Huomautus:
Hyödyntäminen edellyttää tunnistautumista: Haavoittuvuus on (tai ei ole) hyödynnettävissä ilman tunnistetietoja.
Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia: Haavoittuvuutta voi (tai ei voi) hyödyntää vain hyökkääjä, jolla on järjestelmänvalvojan oikeudet.
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Akash Hamal (akashhamal0x01) – CVE-2024-45118, CVE-2024-45120, CVE-2024-45121, CVE-2024-45122, CVE-2024-45128, CVE-2024-45129, CVE-2024-45130, CVE-2024-45131, CVE-2024-45132
- Blaklis (blaklis) – CVE-2024-45115, CVE-2024-45123, CVE-2024-45133, CVE-2024-45134, CVE-2024-45135, CVE-2024-45148, CVE-2024-45149
- wohlie – CVE-2024-45117
- Javier Corral (corraldev) – CVE-2024-45116
- truff – CVE-2024-45119
- Prashant Bhattarai (g0ndaar) – CVE-2024-45124
- n1nj4sec – CVE-2024-45125
- Tara Owens (tmoh4kr) – CVE-2024-45127
HUOMAUTUS: Adobella on HackerOnessa yksityinen, vain kutsutuille tarkoitettu buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, täytä tämä lomake, niin saat ohjeet.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
