Bulletin-ID
Zuletzt aktualisiert am
25. November 2024
Sicherheitsupdate für Adobe Commerce verfügbar | APSB24-90
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB24-90 |
12. November 2024 |
3 |
Zusammenfassung
Adobe hat ein Sicherheitsupdate für Adobe Commerce- und Magento Open Source-Funktionen veröffentlicht, die von Commerce Services unterstützt und als SaaS (Software as a Service) bereitgestellt werden. Mit diesem Update wird eine kritische Sicherheitslücke behoben. Eine erfolgreiche Ausnutzung könnte zu willkürlicher Ausführung von Code führen.
Adobe sind keine Fälle bekannt, in denen die in diesen Updates behobenen Sicherheitslücken ausgenutzt wurden.
Betroffene Versionen
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Commerce und Magento Open Source auf Basis von Commerce Services und bereitgestellt als SaaS (Software as a Service). (Commerce Services-Connector) | 3.2.5 und früher | Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
| Produkt | Aktualisierte Version | Plattform | Priorität | Installationsanweisungen |
|---|---|---|---|---|
| Adobe Commerce und Magento Open Source auf Basis von Commerce Services und bereitgestellt als SaaS (Software as a Service). (Commerce Services-Connector) | 3.2.6 |
Alle |
3 |
|
Sicherheitslückendetails
| Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | Exploit erfordert Authentifizierung? | Exploit erfordert Admin-Rechte? |
CVSS-Basispunktzahl |
CVSS-Vektor |
CVE-Nummern(n) | Anmerkungen |
|---|---|---|---|---|---|---|---|---|
| Server-Side Request Forgery (SSRF) (CWE-918) |
Willkürliche Ausführung von Code |
Kritisch |
Ja | Ja | 7,7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
CVE-2024-49521 |
Hinweis:
Zum Ausnutzen ist eine Authentifizierung erforderlich: Die Schwachstelle kann ohne Anmeldeinformationen ausgenutzt werden (bzw. nicht ausgenutzt werden).
Erfordert Administratorrechte: Die Schwachstelle ist (oder ist nicht) nur von einem Angreifer mit Administratorrechten ausnutzbar.
Danksagung
Adobe bedankt sich bei den folgenden Forschern, die diese Probleme gemeldet haben und mit Adobe zusammenarbeiten, um unsere Kunden zu schützen:
- Akash Hamal (akashhamal0x01) – CVE-2024-49521
HINWEIS: Adobe hat ein privates, nur für Einladungen bestimmtes Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, füllen Sie bitte dieses Formular aus, um die nächsten Schritte einzuleiten.
Weitere Informationen gibt es unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.
