Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępna aktualizacja zabezpieczeń programu Adobe Commerce | APSB24-40

ID biuletynu	Data publikacji	Priorytet
APSB24-40	11 czerwiec 2024 r.	1

Podsumowanie

Firma Adobe wydała aktualizację zabezpieczeń programów Adobe Commerce,  Magento Open Source i Adobe Commerce Webhooks Plugin. Te aktualizacje usuwają krytyczne i istotne luki w zabezpieczeniach.  Wykorzystanie tych luk mogło doprowadzić do wykonania dowolnego kodu, ominięcia funkcji zabezpieczeń i eskalacji uprawnień.

Firma Adobe wie, że lukę CVE-2024-34102 wykorzystano w ograniczonym stopniu, aby atakować przedsiębiorców korzystających z usługi Adobe Commerce.

Zagrożone wersje

Produkt	Wersja	Platforma
Adobe Commerce	2.4.7 i starsze wersje 2.4.6-p5 i starsze wersje 2.4.5-p7 i starsze wersje 2.4.4-p8 i starsze wersje 2.4.3-ext-7 i starsze wersje* 2.4.2-ext-7 i starsze wersje*	Wszystkie
Magento Open Source	2.4.7 i starsze wersje 2.4.6-p5 i starsze wersje 2.4.5-p7 i starsze wersje 2.4.4-p8 i starsze wersje	Wszystkie
Adobe Commerce Webhooks Plugin	1.2.0 do 1.4.0	Ręczna instalacja wtyczki

Uwaga: w celu zwiększenia przejrzystości, wymienione są teraz wszystkie wersje w danej obsługiwanej serii, których dotyczy problem, a nie tylko najnowsze wersje.

* Te wersje są dostępne tylko dla klientów biorących udział w Programie rozszerzonej pomocy technicznej

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.

Produkt	Zaktualizowana wersja	Platforma	Ocena priorytetu	Instrukcje instalacji
Adobe Commerce	2.4.7-p1 dla 2.4.7 i starszych wersji 2.4.6-p6 dla 2.4.6-p5 i starszych wersji 2.4.5-p8 dla 2.4.5-p7 i starszych wersji 2.4.4-p9 dla 2.4.4-p8 i starszych wersji 2.4.3-ext-8 dla 2.4.3-ext-7 i starszych wersji* 2.4.2-ext-8 dla 2.4.2-ext-7 i starszych wersji*	Wszystkie	1	Uwagi na temat wersji 2.4.x
Magento Open Source	2.4.7-p1 dla 2.4.7 i starszych wersji 2.4.6-p6 dla 2.4.6-p5 i starszych wersji 2.4.5-p8 dla 2.4.5-p7 i starszych wersji 2.4.4-p9 dla 2.4.4-p8 i starszych wersji	Wszystkie	1	Uwagi na temat wersji 2.4.x
Adobe Commerce Webhooks Plugin	1.5.0	Ręczna instalacja wtyczki	1	Aktualizacja modułów i rozszerzeń
Adobe Commerce i Magento Open Source	Oddzielna poprawka dla CVE-2024-34102: ACSD-60241 Zgodność ze wszystkimi wersjami Adobe Commerce i Magento Open Source od 2.4.4 do 2.4.7	Wszystkie	1	Informacje o wydaniu oddzielnej poprawki
*Uwaga: Te wersje są dostępne tylko dla klientów biorących udział w** Programie rozszerzonej pomocy technicznej

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach	Wpływ luki w zabezpieczeniach	Ostrość	Uwierzytelnienie wymagane do wykorzystania?	Wykorzystanie wymaga uprawnień administratora?	Podstawowy wynik CVSS	Wektor CVSS	Numer(y) CVE	Notatki
Fałszowanie żądań po stronie serwera (SSRF) (CWE-918)	Wykonanie dowolnego kodu	Krytyczna	Tak	Tak	8.5	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N	CVE-2024-34111	Brak
Nieprawidłowe ograniczenie odniesienia do zewnętrznej encji XML („XXE”) (CWE-611)	Wykonanie dowolnego kodu	Krytyczna	Nie	Nie	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	CVE-2024-34102	Brak
Niewłaściwe uwierzytelnienie (CWE-287)	Eskalacja uprawnień	Krytyczna	Nie	Nie	8.1	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H	CVE-2024-34103	Brak
Niewłaściwa autoryzacja (CWE-285)	Obejście funkcji bezpieczeństwa	Krytyczna	Tak	Nie	8.2	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N	CVE-2024-34104	Brak
Nieprawidłowa walidacja danych wejściowych (CWE-20)	Wykonanie dowolnego kodu	Krytyczna	Tak	Tak	9.1	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H	CVE-2024-34108	Adobe Commerce Webhooks Plugin
Nieprawidłowa walidacja danych wejściowych (CWE-20)	Wykonanie dowolnego kodu	Krytyczna	Tak	Tak	8.0	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H	CVE-2024-34109	Adobe Commerce Webhooks Plugin
Nieograniczone przesyłanie plików niebezpiecznego typu (CWE-434)	Wykonanie dowolnego kodu	Krytyczna	Tak	Tak	8.0	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H	CVE-2024-34110	Adobe Commerce Webhooks Plugin
Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79)	Wykonanie dowolnego kodu	Ważna	Tak	Tak	4.8	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2024-34105	Brak
Niewłaściwe uwierzytelnienie (CWE-287)	Obejście funkcji bezpieczeństwa	Istotna	Tak	Nie	5.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N	CVE-2024-34106	Brak
Niewłaściwa kontrola dostępu (CWE-284)	Obejście funkcji bezpieczeństwa	Poważna	Nie	Nie	5.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N	CVE-2024-34107	Brak

Uwaga:

Do wykorzystania wymagane jest uwierzytelnienie: lukę można (lub nie można) wykorzystać bez poświadczeń.

Wykorzystanie wymaga uprawnień administratora: lukę może (lub nie może) wykorzystać osoba atakująca z uprawnieniami administratora.

Podziękowania

Firma Adobe składa podziękowania następującym badaczom za zgłoszenie tych luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

wohlie - CVE-2024-34108, CVE-2024-34109, CVE-2024-34110
T.H. Lassche (thlassche) - CVE-2024-34104, CVE-2024-34107
spacewasp - CVE-2024-34102
persata - CVE-2024-34103
Geluchat (geluchat) - CVE-2024-34105
Akash Hamal (akashhamal0x01) - CVE-2024-34111
pranoy_2022 - CVE-2024-34106

UWAGA: Firma Adobe prowadzi z firmą HackerOne prywatny, dostępny tylko za zaproszeniem program nagród za wykryte błędy. Jeśli interesuje Cię współpraca z firmą Adobe w roli zewnętrznego analityka bezpieczeństwa, wypełnij ten formularz, by uzyskać dalsze informacje.

Wersje

8 lipca 2024 r.:

Priorytet został zmieniony na 1.

27 czerwca 2024 r.:

Firma Adobe udostępniła oddzielną poprawkę dla luki CVE-2024-34102.

26 czerwca 2024 r.:

Zmieniono priorytet biuletynu z 3 na 2. Firma Adobe wie, że istnieje publicznie dostępny artykuł dotyczący luki CVE-2024-34102.
Usunięto nieobowiązujące wersje rozszerzonego wsparcia technicznego z tabel Zagrożone wersje i Wersje rozwiązania.

Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.