Tiedotteen tunnus
Päivitetty viimeksi
25. marraskuuta 2024
Adobe Commercen tietoturvapäivitys | APSB24-90
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB24-90 |
12. marraskuuta 2024 |
3 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Commerce Servicesin tarjoamille ja SaaS:nä (ohjelmisto palveluna) käyttöön otetuille Adobe Commerce- ja Magento Open Source -ominaisuuksille. Tämä päivitys ratkaisee kriittisen haavoittuvuuden. Haavoittuvuuksien onnistunut hyödyntäminen voi johtaa satunnaisten koodien suorittamiseen.
Adobe ei ole tietoinen, että mitään näissä päivityksissä käsiteltyjä haavoittuvuuksia olisi hyödynnetty käytännössä.
Versiot
| Tuote | Versio | Ympäristö |
|---|---|---|
| Commerce Servicesin tarjoamat ja SaaS:nä (ohjelmisto palveluna) käyttöön otetut Adobe Commerce- ja Magento Open Source. (Commerce Services Connector) | 3.2.5 ja aiemmat versiot | Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
| Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Asennusohjeet |
|---|---|---|---|---|
| Commerce Servicesin tarjoamat ja SaaS:nä (ohjelmisto palveluna) käyttöön otetut Adobe Commerce- ja Magento Open Source. (Commerce Services Connector) | 3.2.6 |
Kaikki |
3 |
|
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | Vaatiiko hyödyntäminen tunnistautumista? | Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia? |
CVSS-peruspisteet |
CVSS-vektori |
CVE-numerot | Huomautukset |
|---|---|---|---|---|---|---|---|---|
| Palvelinpuolen pyynnön väärennös (SSRF) (CWE-918) |
Mielivaltaisen koodin suoritus |
Kriittinen |
Kyllä | Kyllä | 7.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
CVE-2024-49521 |
Huomautus:
Hyödyntäminen edellyttää tunnistautumista: Haavoittuvuus on (tai ei ole) hyödynnettävissä ilman tunnistetietoja.
Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia: Haavoittuvuutta voi (tai ei voi) hyödyntää vain hyökkääjä, jolla on järjestelmänvalvojan oikeudet.
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Akash Hamal (akashhamal0x01) – CVE-2024-49521
HUOMAUTUS: Adobella on HackerOnessa yksityinen, vain kutsutuille tarkoitettu buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, täytä tämä lomake, niin saat ohjeet.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
