Bulletin-ID
Zuletzt aktualisiert am
26. August 2024
Sicherheits-Update für Adobe Commerce verfügbar| APSB24-61
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB24-61 |
13. August 2024 |
3 |
Zusammenfassung
Adobe hat ein Sicherheitsupdate für Adobe Commerce und Magento Open Source veröffentlicht. Dieses Update behebt mehrere kritische, wichtige und moderate Schwachstellen. Ein erfolgreiches Ausnutzen könnte zu willkürlicher Codeausführung, zur Umgehung von Sicherheitsfunktionen und zur Berechtigungsausweitung führen.
Betroffene Versionen
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Commerce |
2.4.7-p1 und früher 2.4.6-p6 und früher 2.4.5-p8 und früher 2.4.4-p9 und früher |
Alle |
| Magento Open Source | 2.4.7-p1 und früher 2.4.6-p6 und früher 2.4.5-p8 und früher 2.4.4-p9 und früher |
Alle |
Hinweis: Aus Gründen der Übersichtlichkeit werden die betroffenen Versionen nun für jede unterstützte Versionslinie aufgelistet und nicht mehr nur die neuesten Versionen.
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
| Produkt | Aktualisierte Version | Plattform | Priorität | Installationsanweisungen |
|---|---|---|---|---|
| Adobe Commerce |
2.4.7-p2 für 2.4.7-p1 und früher |
Alle |
3 | 2.4.x – Versionshinweise |
| Magento Open Source |
2.4.7-p2 für 2.4.7-p1 und früher |
Alle |
3 | |
| Adobe Commerce und Magento Open Source | Isolierter Patch für CVE-2024-39397
Kompatibel mit allen Adobe Commerce- und Magento Open Source-Versionen zwischen 2.4.4 und 2.4.7 |
Alle | 3 | Versionshinweise für isoliertes Patch auf CVE-2024-39397
|
Sicherheitslückendetails
| Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | Exploit erfordert Authentifizierung? | Exploit erfordert Admin-Rechte? |
CVSS-Basispunktzahl |
CVSS-Vektor |
CVE-Nummern(n) | Anmerkungen |
|---|---|---|---|---|---|---|---|---|
| Uneingeschränkter Upload von Dateien mit gefährlichem Typ (CWE-434) |
Willkürliche Ausführung von Code |
Kritisch |
Nein | Nein | 9.0 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-39397 | Nur Händler, die den Apache-Webserver verwenden, sind betroffen |
| Unzulässige Beschränkung übermäßiger Authentifizierungsversuche (CWE-307) |
Umgehung der Sicherheitsfunktionen |
Kritisch |
Ja | Ja | 7.4 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
CVE-2024-39398 | |
| Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22) |
Willkürlicher Dateisystem-Lesezugriff |
Kritisch |
Ja | Ja | 7,7 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
CVE-2024-39399 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Kritisch |
Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-39400 | |
| Unsachgemäße Neutralisierung von speziellen Elementen, die in einem OS-Befehl verwendet werden ("OS Command Injection") (CWE-78) |
Willkürliche Ausführung von Code |
Kritisch |
Ja | Ja | 8.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
CVE-2024-39401 | |
| Unsachgemäße Neutralisierung von speziellen Elementen, die in einem OS-Befehl verwendet werden ("OS Command Injection") (CWE-78) |
Willkürliche Ausführung von Code |
Kritisch |
Ja | Ja | 8.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H | CVE-2024-39402 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Kritisch |
Ja | Ja | 7.6 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N |
CVE-2024-39403 | |
| Informationsexposition (CWE-200) |
Umgehung der Sicherheitsfunktionen |
Wichtig | Ja | Ja | 6.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2024-39406 | |
| Unzulässige Zugriffskontrolle (CWE-284) |
Berechtigungsausweitung |
Mittel | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39404 | |
| Unzulässige Zugriffskontrolle (CWE-284) |
Umgehung der Sicherheitsfunktionen |
Mittel | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39405 | |
| Unzulässige Autorisierung (CWE-863) |
Umgehung der Sicherheitsfunktionen |
Mittel | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39407 | |
| Cross-Site Request Forgery (CSRF) (CWE-352) |
Umgehung der Sicherheitsfunktionen |
Mittel | Ja | Nein | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-39408 | |
| Cross-Site Request Forgery (CSRF) (CWE-352) |
Umgehung der Sicherheitsfunktionen |
Mittel | Ja | Nein | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-39409 | |
| Cross-Site Request Forgery (CSRF) (CWE-352) |
Umgehung der Sicherheitsfunktionen |
Mittel | Ja | Nein | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39410 | |
| Unzulässige Zugriffskontrolle (CWE-284) |
Berechtigungsausweitung |
Mittel | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39411 | |
| Unzulässige Autorisierung (CWE-285) |
Umgehung der Sicherheitsfunktionen |
Mittel | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39412 | |
| Unzulässige Autorisierung (CWE-285) |
Umgehung der Sicherheitsfunktionen |
Mittel | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39413 | |
| Unzulässige Zugriffskontrolle (CWE-284) |
Berechtigungsausweitung |
Mittel | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39414 | |
| Unzulässige Autorisierung (CWE-285) |
Umgehung der Sicherheitsfunktionen |
Mittel | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39415 | |
| Unzulässige Autorisierung (CWE-285) |
Umgehung der Sicherheitsfunktionen |
Mittel | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | CVE-2024-39416 | |
| Unzulässige Autorisierung (CWE-285) |
Umgehung der Sicherheitsfunktionen |
Mittel | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39417 | |
| Unzulässige Autorisierung (CWE-285) |
Umgehung der Sicherheitsfunktionen |
Mittel | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | CVE-2024-39418 | |
| Unzulässige Zugriffskontrolle (CWE-284) |
Berechtigungsausweitung |
Mittel | Ja | Ja | 4.3 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39419 |
Hinweis:
Zum Ausnutzen ist eine Authentifizierung erforderlich: Die Schwachstelle kann ohne Anmeldeinformationen ausgenutzt werden (bzw. nicht ausgenutzt werden).
Erfordert Administratorrechte: Die Schwachstelle ist (oder ist nicht) nur von einem Angreifer mit Administratorrechten ausnutzbar.
Danksagung
Adobe bedankt sich bei den folgenden Forschern, die diese Probleme gemeldet haben und mit Adobe zusammenarbeiten, um unsere Kunden zu schützen:
- Akash Hamal (akashhamal0x01) - CVE-2024-39404, CVE-2024-39405, CVE-2024-39407, CVE-2024-39411, CVE-2024-39412, CVE-2024-39413, CVE-2024-39414, CVE-2024-39415, CVE-2024-39416, CVE-2024-39417, CVE-2024-39418, CVE-2024-39419
- wohlie - CVE-2024-39401, CVE-2024-39402, CVE-2024-39403
- Javier Corral (corraldev) - CVE-2024-39398, CVE-2024-39400
- Alexandrio (alexandrio) - CVE-2024-39408, CVE-2024-39409
- Blaklis (blaklis) - CVE-2024-39406, CVE-2024-39410
- T.H. Lassche (thlassche) - CVE-2024-39397
- Icare (icare) - CVE-2024-39399
HINWEIS: Adobe hat ein privates, nur für Einladungen bestimmtes Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, füllen Sie bitte dieses Formular aus, um die nächsten Schritte einzuleiten.
Weitere Informationen gibt es unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.
