Bulletin-ID
Sist oppdatert
26. jul. 2024
Sikkerhetsoppdatering tilgjengelig for Adobe Commerce | APSB24-40
|
|
Publiseringsdato |
Prioritet |
|---|---|---|
|
APSB24-40 |
11. juni 2024 |
1 |
Sammendrag
Adobe har lansert sikkerhetsoppdateringer for Adobe Commerce, Magento Open Source og Adobe Commerce Webhooks Plugin. Denne oppdateringen løser kritiske og viktige sikkerhetsproblemer. Vellykket utnyttelse kan føre til kjøring av vilkårlig kode, omgåelse av sikkerhetsfunksjoner og eskalering av rettigheter.
Adobe er klar over at CVE-2024-34102 har blitt utnyttet fritt i svært begrensede angrep rettet mot Adobe Commerce-selgere.
Berørte versjoner
| Produkt | Versjon | Plattform |
|---|---|---|
| Adobe Commerce |
2.4.7 og tidligere 2.4.6-p5 og tidligere 2.4.5-p7 og tidligere 2.4.4-p8 og tidligere 2.4.3-ext-7 and earlier* 2.4.2-ext-7 og tidligere* |
Alle |
| Magento Open Source | 2.4.7 og tidligere 2.4.6-p5 og tidligere 2.4.5-p7 og tidligere 2.4.4-p8 og tidligere |
Alle |
| Adobe Commerce Webhooks-plugin |
1.2.0 til 1.4.0 |
Manuell installasjon av plugin-moduler |
Merk: Vi understreker at de alle berørte versjoner nå er oppført for hver støttede utgivelseslinje i stedet for bare de nyeste versjonene.
* Disse versjonene gjelder kun for kunder som deltar i Extended Support Program
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
| Produkt | Oppdatert versjon | Plattform | Prioritetsklassifisering | Installasjonsinstruksjoner |
|---|---|---|---|---|
| Adobe Commerce |
2.4.7-p1 for 2.4.7 og tidligere |
Alle |
1 | 2.4.x utgivelsesmerknader |
| Magento Open Source |
2.4.7-p1 for 2.4.7 og tidligere |
Alle |
1 | |
| Adobe Commerce Webhooks-plugin |
1.5.0 | Manuell installasjon av plugin-moduler | 1 | Oppgradering av moduler og utvidelser |
| Adobe Commerce og Magento Open Source | Isolert oppdatering for CVE-2024-34102: ACSD-60241
Kompatibel med alle Adobe Commerce- og Magento Open Source-versjoner mellom 2.4.4 og 2.4.7 |
Alle | 1 | Utgivelsesmerknader for isolert oppdatering
|
| Merk: * Disse versjonene gjelder kun for kunder som deltar i Extended Support Program | ||||
Informasjon om sikkerhetsproblemet
| Sikkerhetsproblemkategori | Sikkerhetsprobleminnvirkning | Alvorlighetsgrad | Er godkjenning nødvendig for å bruke produktet? | Krever bruk administratorrettigheter? |
CVSS-grunnscore |
CVSS-vektor |
CVE-nummer/-numre | Notater |
|---|---|---|---|---|---|---|---|---|
| Forfalskning av forespørsel på serverside (SSRF) (CWE-918) |
Vilkårlig kjøring av kode |
Kritisk | Ja | Ja | 8.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
CVE-2024-34111 |
Ingen |
| Feil begrensning av referanse til ekstern XML-enhet (XXE) (CWE-611) |
Vilkårlig kjøring av kode |
Kritisk | No | No | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-34102 |
Ingen |
| Ukorrekt autentisering (CWE-287) |
Eskalering av rettigheter |
Kritisk | No | No | 8.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-34103 |
Ingen |
| Ukorrekt autorisasjon (CWE-285) |
Omgåelse av sikkerhetsfunksjon |
Kritisk |
Ja | No | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-34104 |
Ingen |
| Feil inndatavalidering (CWE-20) |
Kjøring av vilkårlig kode |
Kritisk |
Ja |
Ja |
9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34108
|
Adobe Commerce Webhooks-plugin |
| Feil inndatavalidering (CWE-20) |
Vilkårlig kjøring av kode |
Kritisk | Ja |
Ja |
8.0 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34109 | Adobe Commerce Webhooks-plugin |
| Ubegrenset opplasting av filer med farlig type (CWE-434) |
Vilkårlig kjøring av kode |
Kritisk | Ja |
Ja |
8.0 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34110 | Adobe Commerce Webhooks-plugin |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-34105 | Ingen |
| Ukorrekt autentisering (CWE-287) |
Omgåelse av sikkerhetsfunksjon |
Viktig | Ja | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-34106 | Ingen |
| Feil tilgangskontroll (CWE-284) |
Omgåelse av sikkerhetsfunksjon |
Viktig |
No | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-34107 | Ingen |
Merk:
Autentisering kreves for utnyttelse: Sikkerhetsproblemet kan være mulig eller umulig å utnytte uten legitimasjon.
Utnyttelse krever administratorrettigheter: Sikkerhetsproblemet kan være mulig eller umulig å utnyttes av en angriper med administratorrettigheter.
Anerkjennelser
Adobe takker følgende forskere at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:
- wohlie - CVE-2024-34108, CVE-2024-34109, CVE-2024-34110
- T.H. Lassche (thlassche) - CVE-2024-34104, CVE-2024-34107
- spacewasp - CVE-2024-34102
- persata - CVE-2024-34103
- Geluchat (geluchat) - CVE-2024-34105
- Akash Hamal (akashhamal0x01) - CVE-2024-34111
- pranoy_2022 - CVE-2024-34106
MERK: Adobe har et privat, valgfritt bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, vennligst fyll ut dette skjemaet for å gå videre.
Revisjoner
8. juli 2024:
- Prioritet revidert til 1.
27. juni 2024:
- Adobe har utgitt en isolert oppdatering for CVE-2024-34102.
26. juni 2024:
- Revidert Bulletin-prioritet fra 3 til 2. Adobe er klar over at det finnes en offentlig tilgjengelig rapport om CVE-2024-34102.
- Fjernet uaktuelle versjoner av utvidet kundestøtte fra tabellene Berørte versjoner og Løsningsversjoner
Du finner mer informasjon under https://helpx.adobe.com/no/security.html, eller send en e-post til PSIRT@adobe.com.
