Beveiligingsadvies van Adobe

Beveiligingsupdate beschikbaar voor Adobe Commerce | APSB24-73

Bulletin-id

Publicatiedatum

Prioriteit

APSB24-73

8 oktober 2024

2

Samenvatting

Adobe heeft een beveiligingsupdate uitgebracht voor Adobe Commerce en Magento Open Source. Deze update verhelpt kritiekebelangrijke en matige kwetsbaarheden.  Succesvolle exploitatie kan leiden tot het uitvoeren van willekeurige code, het lezen van willekeurige bestandssystemen, het omzeilen van beveiligingsfuncties en escalatie van bevoegdheden.

Adobe is zich er niet van bewust dat de in deze updates behandelde problemen door onbevoegden worden misbruikt.

Van toepassing op de volgende versies

Product Versie Platform
 Adobe Commerce
2.4.7-p2 en eerder
2.4.6-p7 en eerder
2.4.5-p9 en eerder
2.4.4-p10 en eerder
Alle
Adobe Commerce B2B
1.4.2-p2 en eerder
1.3.5-p7 en eerder
1.3.4-p9 en eerder
1.3.3-p10 en eerder
Alles
Magento Open Source 2.4.7-p2 en eerder
2.4.6-p7 en eerder
2.4.5-p9 en eerder
2.4.4-p10 en eerder
Alle

Opmerking: voor de duidelijkheid worden nu voor elke ondersteunde release de van toepassing zijnde versies weergegeven in plaats van alleen de meest recente versies.

Oplossing

Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.

Product Bijgewerkte versie Platform Prioriteitsbeoordeling Installatie-instructies
Adobe Commerce

2.4.7-p3 voor 2.4.7-p2 en eerder
2.4.6-p8 voor 2.4.6-p7 en eerder
2.4.5-p10 voor 2.4.5-p9 en eerder
2.4.4-p11 voor 2.4.4-p10 en eerder

Alles
3

Releaseopmerkingen voor versie 2.4.x

 

 

Release-opmerkingen voor geïsoleerde patch op CVE-2024-45115

Adobe Commerce B2B
1.4.2-p3 voor 1.4.2-p2 en eerder
1.3.5-p8 voor 1.3.5-p7 en eerder
1.3.4-p10 voor 1.3.4-p9 en eerder
1.3.3-p11 voor 1.3.3-p10 en eerder
Alles 2
Adobe Commerce B2B

Geïsoleerde patch voor CVE-2024-45115

Compatibel met alle versies van Adobe Commerce B2B van 1.3.3 - 1.4.2

Alle  2
Magento Open Source 

2.4.7-p3 voor 2.4.7-p2 en eerder
2.4.6-p8 voor 2.4.6-p7 en eerder
2.4.5-p10 voor 2.4.5-p9 en eerder
2.4.4-p11 voor 2.4.4-p10 en eerder

Alles
3

Details van kwetsbaarheid

Categorie van kwetsbaarheid Impact van kwetsbaarheid Ernst Authentication vereist voor uitbuiting? Beheerdersbevoegdheden nodig voor uitbuiting?
CVSS-basisscore
CVSS-vector
CVE-nummer(s) Opmerkingen
Onjuiste authenticatie (CWE-287)
Bevoegdhedenescalatie
Kritiek
Nee Nee 9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2024-45115 Alleen van toepassing op B2B-editie
Onjuiste authenticatie (CWE-287)
Omzeiling van beveiligingsfunctie
Kritiek Nee Nee 8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-45148
Alleen van toepassing op B2B-editie
Cross-site scripting (opgeslagen XSS) (CWE-79)
Uitvoering van willekeurige code
Kritiek Ja Ja 8.1 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N
CVE-2024-45116  
Onjuiste invoervalidatie (CWE-20)
Lezen van willekeurige bestandssystemen
Kritiek
Ja Ja 7.6 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:L
CVE-2024-45117  
Onjuist toegangsbeheer (CWE-284)
Omzeiling van beveiligingsfunctie
Belangrijk Ja Ja 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
CVE-2024-45118  
SSRF (aanvraagvervalsing op de server) (CWE-918)
Lezen van willekeurige bestandssystemen
Belangrijk Ja Ja 5.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N
CVE-2024-45119  
Time-of-check Time-of-use (TOCTOU) Race Condition (CWE-367)
Omzeiling van beveiligingsfunctie Moderaat Ja Nee 4.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
CVE-2024-45120  
Onjuist toegangsbeheer (CWE-284)
Omzeiling van beveiligingsfunctie
Matig Ja Ja 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2024-45121  
Onjuist toegangsbeheer (CWE-284)
Omzeiling van beveiligingsfunctie
Moderate
Ja Ja 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
CVE-2024-45122  
Cross-site scripting (opgeslagen XSS) (CWE-79)
Uitvoering van willekeurige code
Kritiek Ja Ja 6.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
CVE-2024-45123  
Onjuist toegangsbeheer (CWE-284)
Omzeiling van beveiligingsfunctie
Belangrijk Ja Nee 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
CVE-2024-45124  
Onjuiste autorisatie (CWE-863)
Omzeiling van beveiligingsfunctie
Matig Ja Ja 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2024-45125  
Cross-site scripting (opgeslagen XSS) (CWE-79)
Uitvoering van willekeurige code
Kritiek Ja Ja 4.8 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
CVE-2024-45127  
Onjuiste autorisatie (CWE-285)
Omzeiling van beveiligingsfunctie
Belangrijk Ja Ja 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
CVE-2024-45128  
Onjuist toegangsbeheer (CWE-284)
Bevoegdhedenescalatie
Moderaat Ja Ja 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2024-45129  
Onjuist toegangsbeheer (CWE-284)
Omzeiling van beveiligingsfunctie
Matig Ja Ja 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2024-45130  
Onjuiste autorisatie (CWE-285)
Omzeiling van beveiligingsfunctie
Belangrijk Ja Ja 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
CVE-2024-45131  
Onjuiste autorisatie (CWE-285)
Bevoegdhedenescalatie
Belangrijk Ja Ja 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
CVE-2024-45132  
Onjuist toegangsbeheer (CWE-284)
Omzeiling van beveiligingsfunctie
Matig Ja Ja 2.7 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N
CVE-2024-45133  
Blootstelling van informatie (CWE-200)
Omzeiling van beveiligingsfunctie
Matig Ja Ja 2.7 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N
CVE-2024-45134  
Onjuist toegangsbeheer (CWE-284)
Omzeiling van beveiligingsfunctie
Matig Ja Nee 2.7 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N
CVE-2024-45135  
Onjuist toegangsbeheer (CWE-284)
Omzeiling van beveiligingsfunctie
Matig

Ja Ja 2.7 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N
CVE-2024-45149
 
Opmerking:

uthenticatie vereist:  de kwetsbaarheid kan (of kan niet) worden misbruikt zonder inloggegevens.


Vereist beheerdersrechten: de kwetsbaarheid kan alleen (of kan niet) worden misbruikt door een aanvaller met beheerdersrechten.

Dankbetuigingen

Adobe bedankt de volgende onderzoekers voor het melden van deze problemen en voor de samenwerking met Adobe om onze klanten te helpen beschermen:

  • Akash Hamal (akashhamal0x01) - CVE-2024-45118, CVE-2024-45120, CVE-2024-45121, CVE-2024-45122, CVE-2024-45128, CVE-2024-45129, CVE-2024-45130, CVE-2024-45131, CVE-2024-45132
  • Blaklis (blaklis) -CVE-2024-45115, CVE-2024-45123, CVE-2024-45133, CVE-2024-45134, CVE-2024-45135, CVE-2024-45148, CVE-2024-45149
  • wohlie - CVE-2024-45117
  • Javier Corral (corraldev) - CVE-2024-45116
  • truff - CVE-2024-45119
  • Prashant Bhattarai (g0ndaar) - CVE-2024-45124
  • n1nj4sec - CVE-2024-45125
  • Tara Owens (tmoh4kr) - CVE-2024-45127

OPMERKING: Adobe heeft een privé, alleen-op-uitnodiging, bug bounty-programma met HackerOne. Als u geïnteresseerd bent in een samenwerking met Adobe als externe beveiligingsonderzoeker, vul dan dit formulier in voor de volgende stappen.


Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.

 Adobe

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?