Adobe セキュリティ速報

Adobe Commerce に関するセキュリティアップデート公開 | APSB24-90

情報 ID

公開日

優先度

APSB24-90

2024 年 11 月 12 日

3

要約

アドビは、Commerce Services によって提供され、SaaS(サービスとしてのソフトウェア)としてデプロイされる Adobe Commerce および Magento Open Source 機能のセキュリティアップデートをリリースしました。 このアップデートにより、クリティカルな脆弱性が解決されます。  この脆弱性が悪用されると、任意のコードが実行される恐れがあります。

本アップデートによって修正される脆弱性が、広く悪用されているという事例は確認されていません。

対象のバージョン

製品名 バージョン プラットフォーム
Adobe Commerce および Magento Open Source は、Commerce Services によって提供され、SaaS(サービスとしてのソフトウェア)としてデプロイされています。 (Commerce Servicesコネクター  3.2.5 以前 すべて

解決策

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 アップデートバージョン プラットフォーム 優先度評価 インストール手順
Adobe Commerce および Magento Open Source は、Commerce Services によって提供され、SaaS(サービスとしてのソフトウェア)としてデプロイされています。 (Commerce Servicesコネクター

3.2.6

すべて
3

KB の記事

 

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 悪用する場合に認証が必要か? 悪用する場合に管理者権限が必要か?
CVSS 基本スコア
CVSS ベクター
CVE 番号 メモ
サーバー側要求偽造(SSRF)(CWE-918
任意のコード実行
クリティカル
はい はい 7.7 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
CVE-2024-49521
 
注意:

悪用する場合に認証が必要: この脆弱性は、資格情報がないと悪用される可能性があります(またはありません)。


悪用する場合に管理者権限が必要: この脆弱性は、管理者権限を持つ攻撃者のみによって悪用される可能性があります(またはありません)。

謝辞

一連の問題を報告し、ユーザーの保護にご協力いただいた以下の研究者の皆様に対し、アドビより厚く御礼を申し上げます。

  • Akash Hamal 氏(akashhamal0x01)- CVE-2024-49521

注:アドビは、HackerOne と非公開で招待制のバグバウンティープログラムを実施しています。アドビの外部セキュリティリサーチャーとして働くことに興味がある方は、次のステップをお知らせしますので、このフォームにご記入ください。


詳しくは、https://helpx.adobe.com/jp/security.htmlを参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。

 Adobe

ヘルプをすばやく簡単に入手

新規ユーザーの場合

Adobe MAX 2025

Adobe MAX Japan
クリエイターの祭典

2025 年 2 月 13 日
東京ビッグサイト