ID biuletynu
Ostatnia aktualizacja
21 mar 2025
Dostępna aktualizacja zabezpieczeń programu Adobe Commerce | APSB24-40
|
|
Data publikacji |
Priorytet |
|---|---|---|
|
APSB24-40 |
11 czerwiec 2024 r. |
1 |
Podsumowanie
Firma Adobe wydała aktualizację zabezpieczeń programów Adobe Commerce, Magento Open Source i Adobe Commerce Webhooks Plugin. Ta aktualizacja usuwa krytyczne i istotne luki w zabezpieczeniach. Wykorzystanie tych luk mogło doprowadzić do wykonania dowolnego kodu, ominięcia funkcji zabezpieczeń i eskalacji uprawnień.
Firma Adobe wie, że lukę CVE-2024-34102 wykorzystano w ograniczonym stopniu, aby atakować przedsiębiorców korzystających z usługi Adobe Commerce.
Zagrożone wersje
| Produkt | Wersja | Platforma |
|---|---|---|
| Adobe Commerce |
2.4.7 i starsze wersje 2.4.6-p5 i starsze wersje 2.4.5-p7 i starsze wersje 2.4.4-p8 i starsze wersje 2.4.3-ext-7 i starsze wersje* 2.4.2-ext-7 i starsze wersje* |
Wszystkie |
| Magento Open Source | 2.4.7 i starsze wersje 2.4.6-p5 i starsze wersje 2.4.5-p7 i starsze wersje 2.4.4-p8 i starsze wersje |
Wszystkie |
| Adobe Commerce Webhooks Plugin |
1.2.0 do 1.4.0 |
Ręczna instalacja wtyczki |
Uwaga: w celu zwiększenia przejrzystości, wymienione są teraz wszystkie wersje w danej obsługiwanej serii, których dotyczy problem, a nie tylko najnowsze wersje.
* Te wersje są dostępne tylko dla klientów biorących udział w Programie rozszerzonej pomocy technicznej
Rozwiązanie
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.
| Produkt | Zaktualizowana wersja | Platforma | Ocena priorytetu | Instrukcje instalacji |
|---|---|---|---|---|
| Adobe Commerce |
2.4.7-p1 dla 2.4.7 i starszych wersji |
Wszystkie |
1 | Uwagi na temat wersji 2.4.x |
| Magento Open Source |
2.4.7-p1 dla 2.4.7 i starszych wersji |
Wszystkie |
1 | |
| Adobe Commerce Webhooks Plugin |
1.5.0 | Ręczna instalacja wtyczki | 1 | Aktualizacja modułów i rozszerzeń |
| Adobe Commerce i Magento Open Source | Oddzielna poprawka dla CVE-2024-34102: ACSD-60241
Zgodność ze wszystkimi wersjami Adobe Commerce i Magento Open Source od 2.4.4 do 2.4.7 |
Wszystkie | 1 | Informacje o wydaniu oddzielnej poprawki
|
| Uwaga: * Te wersje są dostępne tylko dla klientów biorących udział w Programie rozszerzonej pomocy technicznej | ||||
Informacje o luce w zabezpieczeniach
| Kategoria luki w zabezpieczeniach | Wpływ luki w zabezpieczeniach | Ostrość | Uwierzytelnienie wymagane do wykorzystania? | Wykorzystanie wymaga uprawnień administratora? |
Podstawowy wynik CVSS |
Wektor CVSS |
Numer(y) CVE | Notatki |
|---|---|---|---|---|---|---|---|---|
| Fałszowanie żądań po stronie serwera (SSRF) (CWE-918) |
Wykonanie dowolnego kodu |
Krytyczna | Tak | Tak | 8.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
CVE-2024-34111 |
Brak |
| Nieprawidłowe ograniczenie odniesienia do zewnętrznej encji XML („XXE”) (CWE-611) |
Wykonanie dowolnego kodu |
Krytyczna | Nie | Nie | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-34102 |
Brak |
| Niewłaściwe uwierzytelnienie (CWE-287) |
Eskalacja uprawnień |
Krytyczna | Nie | Nie | 8.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-34103 |
Brak |
| Niewłaściwa autoryzacja (CWE-285) |
Obejście funkcji bezpieczeństwa |
Krytyczna |
Tak | Nie | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-34104 |
Brak |
| Nieprawidłowa walidacja danych wejściowych (CWE-20) |
Wykonanie dowolnego kodu |
Krytyczna |
Tak |
Tak |
9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34108
|
Adobe Commerce Webhooks Plugin |
| Nieprawidłowa walidacja danych wejściowych (CWE-20) |
Wykonanie dowolnego kodu |
Krytyczna | Tak |
Tak |
8.0 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34109 | Adobe Commerce Webhooks Plugin |
| Nieograniczone przesyłanie plików niebezpiecznego typu (CWE-434) |
Wykonanie dowolnego kodu |
Krytyczna | Tak |
Tak |
8.0 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34110 | Adobe Commerce Webhooks Plugin |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | Tak | Tak | 4.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-34105 | Brak |
| Niewłaściwe uwierzytelnienie (CWE-287) |
Obejście funkcji bezpieczeństwa |
Istotna | Tak | Nie | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-34106 | Brak |
| Niewłaściwa kontrola dostępu (CWE-284) |
Obejście funkcji bezpieczeństwa |
Poważna |
Nie | Nie | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-34107 | Brak |
Uwaga:
Kolumna „Uwierzytelnienie wymagane do wykorzystania?” wyjaśnia, czy skuteczne wykorzystanie wymienionej luki w zabezpieczeniach wymaga od osoby atakującej ważnych poświadczeń logowania do systemu Commerce.
„Tak” oznacza, że skuteczne wykorzystanie przez program luki wymaga poprawnych poświadczeń i ich uwierzytelnienia.
„Nie” oznacza, że wykorzystanie jest możliwe bez prawidłowych poświadczeń i uwierzytelnienia.
Podziękowania
Firma Adobe składa podziękowania następującym badaczom za zgłoszenie tych luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
- wohlie - CVE-2024-34108, CVE-2024-34109, CVE-2024-34110
- T.H. Lassche (thlassche) – CVE-2024-34104, CVE-2024-34107
- spacewasp - CVE-2024-34102
- persata - CVE-2024-34103
- Geluchat (geluchat) - CVE-2024-34105
- Akash Hamal (akashhamal0x01) - CVE-2024-34111
- pranoy_2022 - CVE-2024-34106
UWAGA: Firma Adobe prowadzi z firmą HackerOne prywatny, dostępny tylko za zaproszeniem program nagród za wykryte błędy. Jeśli interesuje Cię współpraca z firmą Adobe w roli zewnętrznego analityka bezpieczeństwa, wypełnij ten formularz, by uzyskać dalsze informacje.
Wersje
11 marca 2025 r.: zmieniono tekst uwagi w tabeli „Informacje o luce w zabezpieczeniach”.
8 lipca 2024 r.:
- Priorytet został zmieniony na 1.
27 czerwca 2024 r.:
- Firma Adobe udostępniła oddzielną poprawkę dla luki CVE-2024-34102.
26 czerwca 2024 r.:
- Zmieniono priorytet biuletynu z 3 na 2. Firma Adobe wie, że istnieje publicznie dostępny artykuł dotyczący luki CVE-2024-34102.
- Usunięto nieobowiązujące wersje rozszerzonego wsparcia technicznego z tabel Zagrożone wersje i Wersje rozwiązania.
Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.
