Adobe 安全性公告

搜尋

上次更新時間 2024年11月25日

發佈 Adobe Commerce 的安全性更新  |  APSB24-90

安全性公告 ID	發布日期	優先順序
APSB24-90	2024 年 11 月 12 日	3

摘要

Adobe 發佈了由 Commerce Services 提供的 Adobe Commerce 和 Magento Open Source 功能安全性更新，並以 SaaS (軟體即服務) 的形式進行部署。此更新旨在解決一項重大漏洞。  這些漏洞一旦遭有心人士利用，可能會導致系統任意執行程式碼。

Adobe 目前尚未發現這些更新程式解決的漏洞遭人利用之情事。

產品	版本	平台
以 SaaS (軟體即服務) 形式部署由 Commerce Services 提供的 Adobe Commerce 和 Magento Open Source。 (Commerce Services 連結器)	3.2.5 及更早版本	全部

Adobe 依照下列優先順序分級將這些更新分類，並建議使用者將其安裝更新至最新版本。

產品	已更新的版本	平台	優先順序分級	安裝說明
以 SaaS (軟體即服務) 形式部署由 Commerce Services 提供的 Adobe Commerce 和 Magento Open Source。 (Commerce Services 連結器)	3.2.6	全部	3	知識庫文章

產品

已更新的版本

平台

優先順序分級

安裝說明

以 SaaS (軟體即服務) 形式部署由 Commerce Services 提供的 Adobe Commerce 和 Magento Open Source。 (Commerce Services 連結器)

3.2.6

全部

漏洞類別	漏洞影響	嚴重性	利用漏洞是否需要驗證？	利用漏洞是否需要管理員權限？	CVSS 基本評分	CVSS 向量	CVE 編號	備註
伺服器端偽造要求 (SSRF) (CWE-918)	任意執行程式碼	重大	是	是	7.7	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N	CVE-2024-49521

註解：

利用漏洞前需進行身分驗證：無需認證即可 (或不可) 利用該漏洞。

利用漏洞需要管理員權限：只有具備管理權限的攻擊者可以 (或不可) 利用該漏洞。

Adobe 在此感謝以下研究人員回報這些問題，與 Adobe 共同保護我們的客戶：

備註：Adobe 與 HackerOne 有一個僅限邀請參加的非公開錯誤懸賞計畫。如果您有興趣以外部安全研究人員身分與 Adobe 合作，請填寫此表單以完成後續步驟。

如需詳細資訊，請造訪 https://helpx.adobe.com/tw/security.html，或傳送電子郵件至 PSIRT@adobe.com。

新的使用者？