Bulletin-ID
Sist oppdatert
25. nov. 2024
Sikkerhetsoppdatering tilgjengelig for Adobe Commerce | APSB24-90
|
|
Publiseringsdato |
Prioritet |
|---|---|---|
|
APSB24-90 |
12. november 2024 |
3 |
Sammendrag
Adobe har lansert en sikkerhetsoppdatering for Adobe Commerce- og Magento Open Source-funksjoner drevet av Commerce Services og distribuert som SaaS (programvare som en tjeneste). Denne oppdateringen løser et kritisk sikkerhetsproblem. Vellykket utnyttelse kunne føre til vilkårlig kodeutførelse.
Adobe kjenner ikke til aktiv utnyttelse av noen av problemene som løses av disse oppdateringene.
Berørte versjoner
| Produkt | Versjon | Plattform |
|---|---|---|
| Adobe Commerce og Magento Open Source drevet av Commerce Services og distribuert som SaaS (programvare som en tjeneste). (Commerce Services Connector) | 3.2.5 og tidligere | Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
| Produkt | Oppdatert versjon | Plattform | Prioritetsklassifisering | Installasjonsinstruksjoner |
|---|---|---|---|---|
| Adobe Commerce og Magento Open Source drevet av Commerce Services og distribuert som SaaS (programvare som en tjeneste). (Commerce Services Connector) | 3.2.6 |
Alle |
3 |
|
Informasjon om sikkerhetsproblemet
| Sikkerhetsproblemkategori | Sikkerhetsprobleminnvirkning | Alvorlighetsgrad | Er godkjenning nødvendig for å bruke produktet? | Krever bruk administratorrettigheter? |
CVSS-grunnscore |
CVSS-vektor |
CVE-nummer/-numre | Notater |
|---|---|---|---|---|---|---|---|---|
| Forfalskning av forespørsel på serverside (SSRF) (CWE-918) |
Kjøring av vilkårlig kode |
Kritisk |
Ja | Ja | 7.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
CVE-2024-49521 |
Merk:
Autentisering kreves for utnyttelse: Sikkerhetsproblemet kan være mulig eller umulig å utnytte uten legitimasjon.
Utnyttelse krever administratorrettigheter: Sikkerhetsproblemet kan være mulig eller umulig å utnyttes av en angriper med administratorrettigheter.
Anerkjennelser
Adobe takker følgende forskere at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:
- Akash Hamal (akashhamal0x01) - CVE-2024-49521
MERK: Adobe har et privat, valgfritt bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, vennligst fyll ut dette skjemaet for å gå videre.
Du finner mer informasjon under https://helpx.adobe.com/no/security.html, eller send en e-post til PSIRT@adobe.com.
