ID biuletynu
Ostatnia aktualizacja
26 sie 2024
Dostępna aktualizacja zabezpieczeń programu Adobe Commerce | APSB24-61
|
|
Data publikacji |
Priorytet |
|---|---|---|
|
APSB24-61 |
13 sierpień 2024 r. |
3 |
Podsumowanie
Firma Adobe wydała aktualizację zabezpieczeń programów Adobe Commerce i Magento Open Source. Ta aktualizacja usuwa krytyczne, istotne i umiarkowanie ważne luki w zabezpieczeniach. Udane wykorzystanie mogło doprowadzić do wykonania dowolnego kodu, odczytu dowolnego systemu plików, obejścia zabezpieczeń i eskalacji uprawnień.
Zagrożone wersje
| Produkt | Wersja | Platforma |
|---|---|---|
| Adobe Commerce |
2.4.7-p1 i starsze wersje 2.4.6-p6 i starsze wersje 2.4.5-p8 i starsze wersje 2.4.4-p9 i starsze wersje |
Wszystkie |
| Magento Open Source | 2.4.7-p1 i starsze wersje 2.4.6-p6 i starsze wersje 2.4.5-p8 i starsze wersje 2.4.4-p9 i starsze wersje |
Wszystkie |
Uwaga: w celu zwiększenia przejrzystości, wymienione są teraz wszystkie wersje w danej obsługiwanej serii, których dotyczy problem, a nie tylko najnowsze wersje.
Rozwiązanie
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.
| Produkt | Zaktualizowana wersja | Platforma | Ocena priorytetu | Instrukcje instalacji |
|---|---|---|---|---|
| Adobe Commerce |
2.4.7-p2 dla 2.4.7-p1 i starszych wersji |
Wszystkie |
3 | Uwagi na temat wersji 2.4.x |
| Magento Open Source |
2.4.7-p2 dla 2.4.7-p1 i starszych wersji |
Wszystkie |
3 | |
| Adobe Commerce i Magento Open Source | Oddzielna poprawka dla CVE-2024-39397
Zgodność ze wszystkimi wersjami Adobe Commerce i Magento Open Source od 2.4.4 do 2.4.7 |
Wszystkie | 3 | Informacje o wydaniu oddzielnej poprawki dla CVE-2024-39397
|
Informacje o luce w zabezpieczeniach
| Kategoria luki w zabezpieczeniach | Wpływ luki w zabezpieczeniach | Ostrość | Uwierzytelnienie wymagane do wykorzystania? | Wykorzystanie wymaga uprawnień administratora? |
Podstawowy wynik CVSS |
Wektor CVSS |
Numer(y) CVE | Notatki |
|---|---|---|---|---|---|---|---|---|
| Nieograniczone przesyłanie plików niebezpiecznego typu (CWE-434) |
Wykonanie dowolnego kodu |
Krytyczna |
Nie | Nie | 9.0 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-39397 | Dotyczy tylko sprzedawców korzystających z serwera WWW Apache |
| Niewłaściwe ograniczenie nadmiernych prób uwierzytelnienia (CWE-307) |
Obejście funkcji bezpieczeństwa |
Krytyczna |
Tak | Tak | 7.4 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
CVE-2024-39398 | |
| Niewłaściwe ograniczenie nazwy ścieżki do katalogu z ograniczeniami („przeglądanie ścieżek”) (CWE-22) |
Odczytanie dowolnych danych w systemie plików |
Krytyczna |
Tak | Tak | 7.7 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
CVE-2024-39399 | |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Krytyczna |
Tak | Tak | 8,1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-39400 | |
| Nieprawidłowa neutralizacja elementów specjalnych używanych w poleceniach systemu operacyjnego („wstrzykiwanie poleceń systemu operacyjnego”) (CWE-78) |
Wykonanie dowolnego kodu |
Krytyczna |
Tak | Tak | 8.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
CVE-2024-39401 | |
| Nieprawidłowa neutralizacja elementów specjalnych używanych w poleceniach systemu operacyjnego („wstrzykiwanie poleceń systemu operacyjnego”) (CWE-78) |
Wykonanie dowolnego kodu |
Krytyczna |
Tak | Tak | 8.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H | CVE-2024-39402 | |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Krytyczna |
Tak | Tak | 7.6 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N |
CVE-2024-39403 | |
| Ujawnienie informacji (CWE-200) |
Obejście funkcji bezpieczeństwa |
Istotna | Tak | Tak | 6.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2024-39406 | |
| Niewłaściwa kontrola dostępu (CWE-284) |
Eskalacja uprawnień |
Umiarkowanie ważna | Tak | Tak | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39404 | |
| Niewłaściwa kontrola dostępu (CWE-284) |
Obejście funkcji bezpieczeństwa |
Umiarkowanie ważna | Tak | Tak | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39405 | |
| Nieprawidłowa autoryzacja (CWE-863) |
Obejście funkcji bezpieczeństwa |
Umiarkowanie ważna | Tak | Tak | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39407 | |
| Fałszerstwa żądań międzywitrynowych (CSRF) (CWE-352) |
Obejście funkcji bezpieczeństwa |
Umiarkowanie ważna | Tak | Nie | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-39408 | |
| Fałszerstwa żądań międzywitrynowych (CSRF) (CWE-352) |
Obejście funkcji bezpieczeństwa |
Umiarkowanie ważna | Tak | Nie | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-39409 | |
| Fałszerstwa żądań międzywitrynowych (CSRF) (CWE-352) |
Obejście funkcji bezpieczeństwa |
Umiarkowanie ważna | Tak | Nie | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39410 | |
| Niewłaściwa kontrola dostępu (CWE-284) |
Eskalacja uprawnień |
Umiarkowanie ważna | Tak | Tak | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39411 | |
| Niewłaściwa autoryzacja (CWE-285) |
Obejście funkcji bezpieczeństwa |
Umiarkowanie ważna | Tak | Tak | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39412 | |
| Niewłaściwa autoryzacja (CWE-285) |
Obejście funkcji bezpieczeństwa |
Umiarkowanie ważna | Tak | Tak | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39413 | |
| Niewłaściwa kontrola dostępu (CWE-284) |
Eskalacja uprawnień |
Umiarkowanie ważna | Tak | Tak | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39414 | |
| Niewłaściwa autoryzacja (CWE-285) |
Obejście funkcji bezpieczeństwa |
Umiarkowanie ważna | Tak | Tak | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39415 | |
| Niewłaściwa autoryzacja (CWE-285) |
Obejście funkcji bezpieczeństwa |
Umiarkowanie ważna | Tak | Tak | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | CVE-2024-39416 | |
| Niewłaściwa autoryzacja (CWE-285) |
Obejście funkcji bezpieczeństwa |
Umiarkowanie ważna | Tak | Tak | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39417 | |
| Niewłaściwa autoryzacja (CWE-285) |
Obejście funkcji bezpieczeństwa |
Umiarkowanie ważna | Tak | Tak | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | CVE-2024-39418 | |
| Niewłaściwa kontrola dostępu (CWE-284) |
Eskalacja uprawnień |
Umiarkowanie ważna | Tak | Tak | 4.3 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39419 |
Uwaga:
Do wykorzystania wymagane jest uwierzytelnienie: lukę można (lub nie można) wykorzystać bez poświadczeń.
Wykorzystanie wymaga uprawnień administratora: lukę może (lub nie może) wykorzystać osoba atakująca z uprawnieniami administratora.
Podziękowania
Firma Adobe składa podziękowania następującym badaczom za zgłoszenie tych luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
- Akash Hamal (akashhamal0x01) - CVE-2024-39404, CVE-2024-39405, CVE-2024-39407, CVE-2024-39411, CVE-2024-39412, CVE-2024-39413, CVE-2024-39414, CVE-2024-39415, CVE-2024-39416, CVE-2024-39417, CVE-2024-39418, CVE-2024-39419
- wohlie – CVE-2024-39401, CVE-2024-39402, CVE-2024-39403
- Javier Corral (corraldev) – CVE-2024-39398, CVE-2024-39400
- Alexandrio (alexandrio) – CVE-2024-39408, CVE-2024-39409
- Blaklis (blaklis) - CVE-2024-39406, CVE-2024-39410
- T.H. Lassche (thlassche) - CVE-2024-39397
- Icare (icare) – CVE-2024-39399
UWAGA: Firma Adobe prowadzi z firmą HackerOne prywatny, dostępny tylko za zaproszeniem program nagród za wykryte błędy. Jeśli interesuje Cię współpraca z firmą Adobe w roli zewnętrznego analityka bezpieczeństwa, wypełnij ten formularz, by uzyskać dalsze informacje.
Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.
