Bulletin-ID
Sist oppdatert
5. jul. 2024
Sikkerhetsoppdatering tilgjengelig for Adobe Commerce | APSB24-03
|
|
Publiseringsdato |
Prioritet |
|---|---|---|
|
APSB24-03 |
13. februar 2024 |
3 |
Sammendrag
Berørte versjoner
| Produkt | Versjon | Plattform |
|---|---|---|
| Adobe Commerce |
2.4.6-p3 og tidligere 2.4.5-p5 og tidligere 2.4.4-p6 og tidligere 2.4.3-ext-5 og tidligere* 2.4.2-ext-5 og tidligere* |
Alle |
| Magento Open Source | 2.4.6-p3 og tidligere 2.4.5-p5 og tidligere 2.4.4-p6 og tidligere |
Alle |
Merk: Vi understreker at de alle berørte versjoner nå er oppført for hver støttede utgivelseslinje i stedet for bare de nyeste versjonene.
* Disse versjonene gjelder kun for kunder som deltar i Extended Support Program
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
| Produkt | Oppdatert versjon | Plattform | Prioritetsklassifisering | Installasjonsinstruksjoner |
|---|---|---|---|---|
| Adobe Commerce |
2.4.6-p4 for 2.4.6-p3 og tidligere |
Alle |
3 | 2.4.x utgivelsesmerknader |
| Magento Open Source |
2.4.6-p4 for 2.4.6-p3 og tidligere |
Alle |
3 | |
| Merk: * Disse versjonene gjelder kun for kunder som deltar i Extended Support Program | ||||
Informasjon om sikkerhetsproblemet
| Sikkerhetsproblemkategori | Sikkerhetsprobleminnvirkning | Alvorlighetsgrad | Er godkjenning nødvendig for å bruke produktet? | Krever bruk administratorrettigheter? |
CVSS-grunnscore |
CVSS-vektor |
CVE-nummer/-numre |
|---|---|---|---|---|---|---|---|
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) | Vilkårlig kjøring av kode |
Kritisk | Ja | Ja | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2024-20719 |
| Feil nøytralisering av spesialelementer brukt i en OS-kommando ('OS-kommandoinjeksjon') (CWE-78) | Vilkårlig kjøring av kode |
Kritisk | Ja | Ja | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2024-20720 |
| Ukontrollert ressursforbruk (CWE-400) | Tjenestenekt for program | Viktig | Ja | Ja | 5.7 | CVSS:3.1/AV:A/AC:L/PR:H/UI:R/S:C/C:N/I:N/A:H | CVE-2024-20716 |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Vilkårlig kjøring av kode | Viktig | Ja | Ja | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20717 |
| Forfalskning av forespørsler på tvers av nettsteder (CSRF) (CWE-352) | Omgåelse av sikkerhetsfunksjon |
Moderat | Ja | No | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2024-20718 |
Merk:
Autentisering kreves for utnyttelse: Sikkerhetsproblemet kan være mulig eller umulig å utnytte uten legitimasjon.
Utnyttelse krever administratorrettigheter: Sikkerhetsproblemet kan være mulig eller umulig å utnyttes av en angriper med administratorrettigheter.
Anerkjennelser
Adobe takker følgende forskere at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:
- Blaklis - CVE-2024-20719, CVE-2024-20720
- Rafael Corrêa Gomes (rafaelcg) - CVE-2024-20716
- lboy - CVE-2024-20717
- Alexandrio - CVE-2024-20718
MERK: Adobe har et privat, valgfritt bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, vennligst fyll ut dette skjemaet for å gå videre.
Revisjoner
26. juni 2024 - Fjernet uaktuelle versjoner av utvidet kundestøtte fra tabellene Berørte versjoner og Løsningsversjoner
Du finner mer informasjon under https://helpx.adobe.com/no/security.html, eller send en e-post til PSIRT@adobe.com.
