ID bollettino
Ultimo aggiornamento il
26 lug 2024
Aggiornamento di sicurezza disponibile per Adobe Commerce | APSB24-40
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
APSB24-40 |
11 giugno 2024 |
1 |
Riepilogo
Adobe ha rilasciato un aggiornamento di sicurezza per Adobe Commerce, Magento Open Source e il plug-in Adobe Commerce Webhooks. Questo aggiornamento risolve vulnerabilità critiche e importanti. Lo sfruttamento efficace potrebbe portare a esecuzione di codice arbitrario, aggiramento delle funzioni di sicurezza ed escalation dei privilegi.
Adobe è consapevole che la vulnerabilità CVE-2024-34102 è stata sfruttata in un numero limitato di attacchi mirati ai commercianti di Adobe Commerce.
Versioni interessate
| Prodotto | Versione | Piattaforma |
|---|---|---|
| Adobe Commerce |
2.4.7 e versioni precedenti 2.4.6-p5 e versioni precedenti 2.4.5-p7 e versioni precedenti 2.4.4-p8 e versioni precedenti 2.4.3-ext-7 e versioni precedenti* 2.4.2-ext-7 e versioni precedenti* |
Tutte |
| Magento Open Source | 2.4.7 e versioni precedenti 2.4.6-p5 e versioni precedenti 2.4.5-p7 e versioni precedenti 2.4.4-p8 e versioni precedenti |
Tutte |
| Plug-in Webhooks di Adobe Commerce |
Da 1.2.0 a 1.4.0 |
Installazione manuale dei plug-in |
Nota: per maggiore chiarezza, vengono ora elencate le versioni interessate per ogni linea di release supportata, e non solo le versioni più recenti.
* Queste versioni sono applicabili solo ai clienti che partecipano al Programma di supporto esteso
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
| Prodotto | Versione aggiornata | Piattaforma | Livello di priorità | Istruzioni per l’installazione |
|---|---|---|---|---|
| Adobe Commerce |
2.4.7-p1 per 2.4.7 e versioni precedenti |
Tutte |
1 | Note sulla versione 2.4.x |
| Magento Open Source |
2.4.7-p1 per 2.4.7 e versioni precedenti |
Tutte |
1 | |
| Plug-in Webhooks di Adobe Commerce |
1.5.0 | Installazione manuale dei plug-in | 1 | Estensioni e moduli di aggiornamento |
| Adobe Commerce e Magento Open Source | Patch isolata per CVE-2024-34102: ACSD-60241
Compatibile con tutte le versioni di Adobe Commerce e Magento Open Source comprese tra 2.4.4 e 2.4.7 |
Tutte | 1 | Note sulla versione per la patch isolata
|
| Nota: * Queste versioni sono applicabili solo ai clienti che partecipano al Programma di supporto esteso | ||||
Dettagli della vulnerabilità
| Categoria della vulnerabilità | Impatto della vulnerabilità | Gravità | Autenticazione obbligatoria per l'utilizzo? | L'utilizzo richiede i privilegi di amministratore? |
Punteggio base CVSS |
Vettore CVSS |
Codice/i CVE | Note |
|---|---|---|---|---|---|---|---|---|
| Server-Side Request Forgery (SSRF) (CWE-918) |
Esecuzione di codice arbitrario |
Critica | Sì | Sì | 8.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
CVE-2024-34111 |
Nessuno |
| Restrizione illecita del riferimento alle entità XML esterne ("XXE") (CWE-611) |
Esecuzione di codice arbitrario |
Critica | No | No | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-34102 |
Nessuno |
| Autenticazione non corretta (CWE-287) |
Acquisizione illecita di privilegi |
Critica | No | No | 8.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-34103 |
Nessuno |
| Autorizzazione impropria (CWE-285) |
Aggiramento della funzione di sicurezza |
Critico |
Sì | No | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-34104 |
Nessuno |
| Convalida dell'input non corretta (CWE-20) |
Esecuzione di codice arbitrario |
Critica |
Sì |
Sì |
9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34108
|
Plug-in Webhooks di Adobe Commerce |
| Convalida dell'input non corretta (CWE-20) |
Esecuzione di codice arbitrario |
Critica | Sì |
Sì |
8.0 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34109 | Plug-in Webhooks di Adobe Commerce |
| Caricamento illimitato di file di tipo pericoloso (CWE-434) |
Esecuzione di codice arbitrario |
Critica | Sì |
Sì |
8.0 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34110 | Plug-in Webhooks di Adobe Commerce |
| Vulnerabilità cross-site scripting (XSS archiviato) (CWE-79) |
Esecuzione di codice arbitrario |
Importante | Sì | Sì | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-34105 | Nessuno |
| Autenticazione non corretta (CWE-287) |
Aggiramento della funzione di sicurezza |
Importante | Sì | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-34106 | Nessuno |
| Controllo di accesso non corretto (CWE-284) |
Aggiramento della funzione di sicurezza |
Importante |
No | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-34107 | Nessuno |
Nota:
È richiesta l'autenticazione per l'utilizzo: la vulnerabilità è (o non è) sfruttabile senza credenziali.
L'utilizzo richiede privilegi di amministrazione: la vulnerabilità è (o non è) sfruttabile solo da un aggressore con privilegi di amministratore.
Ringraziamenti
Adobe desidera ringraziare i ricercatori seguenti per aver segnalato questi problemi contribuendo così a proteggere la sicurezza dei nostri clienti:
- wohlie - CVE-2024-34108, CVE-2024-34109, CVE-2024-34110
- T.H. Lassche (thlassche) - CVE-2024-34104, CVE-2024-34107
- spacewasp - CVE-2024-34102
- persata - CVE-2024-34103
- Geluchat (geluchat) - CVE-2024-34105
- Akash Hamal (akashhamal0x01) - CVE-2024-34111
- pranoy_2022 - CVE-2024-34106
NOTA: Adobe dispone di un programma di bug bounty privato, solo su invito, con HackerOne. Se sei interessato a lavorare con Adobe come ricercatore di sicurezza esterno, compila questo modulo per le fasi successive.
Revisioni
8 luglio 2024:
- Priorità rivista a 1.
27 giugno 2024:
- Adobe ha fornito una patch isolata per CVE-2024-34102.
26 giugno 2024:
- Priorità del bollettino rivista da 3 a 2. Adobe è a conoscenza dell'esistenza di un writeup pubblicamente disponibile relativo a CVE-2024-34102.
- Versioni di supporto esteso a fine vita non applicabili rimosse dalle tabelle delle versioni interessate e delle soluzioni
Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un'e-mail a PSIRT@adobe.com.
