Bulletin-ID
Senast uppdaterad den
5 juli 2024
Säkerhetsuppdatering tillgänglig för Adobe Commerce | APSB24-03
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB24-03 |
13 februari 2024 |
3 |
Sammanfattning
Berörda versioner
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Commerce |
2.4.6-p3 och tidigare 2.4.5-p5 och tidigare 2.4.4-p6 och tidigare 2.4.3-ext-5 och tidigare* 2.4.2-ext-5 och tidigare* |
Alla |
| Magento Open Source | 2.4.6-p3 och tidigare 2.4.5-p5 och tidigare 2.4.4-p6 och tidigare |
Alla |
Obs! För tydlighetens skull listas nu de berörda versionerna för varje versionslinje som stöds istället för bara de senaste versionerna.
* Dessa versioner är endast tillämpliga för kunder som deltar i programmet för utökad support
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
| Produkt | Uppdaterad version | Plattform | Prioritetsklassificering | Installationsanvisningar |
|---|---|---|---|---|
| Adobe Commerce |
2.4.6-p4 för 2.4.6-p3 och tidigare |
Alla |
3 | Versionsinformation 2.4.x |
| Magento Open Source |
2.4.6-p4 för 2.4.6-p3 och tidigare |
Alla |
3 | |
| Obs! * Dessa versioner är endast tillämpliga för kunder som deltar i programmet för utökad support | ||||
Sårbarhetsinformation
| Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | Krävs Authentication för utnyttjande? | Kräver utnyttjande administratörsrättigheter? |
CVSS-baspoäng |
CVSS-vektor |
CVE-nummer |
|---|---|---|---|---|---|---|---|
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Exekvering av godtycklig kod |
Kritisk | Ja | Ja | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2024-20719 |
| Felaktig neutralisering av specialelement som används i ett OS-kommando (”OS-kommandoinjektion”) (CWE-78) | Exekvering av godtycklig kod |
Kritisk | Ja | Ja | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2024-20720 |
| Okontrollerad resursförbrukning (CWE-400) | Denial-of-service för program | Viktigt | Ja | Ja | 5.7 | CVSS:3.1/AV:A/AC:L/PR:H/UI:R/S:C/C:N/I:N/A:H | CVE-2024-20716 |
| Serveröverskridande skriptning (lagrad XSS) (CWE-79) |
Exekvering av godtycklig kod | Viktigt | Ja | Ja | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20717 |
| Serveröverskridande förfalskad begäran (CSRF) (CWE-352) | Åsidosättning av säkerhetsfunktion |
Måttlig | Ja | Nej | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2024-20718 |
Obs!
Autentisering krävs för utnyttjande: Sårbarheten kan (eller kan inte) utnyttjas utan autentiseringsuppgifter.
Utnyttjande kräver administratörsrättigheter: Sårbarheten kan (eller kan inte) endast utnyttjas av en angripare med administratörsrättigheter.
Tack
Adobe tackar följande forskare för att de rapporterat problem och för att de samarbetar med oss i säkerhetsfrågor:
- Blaklis – CVE-2024-20719, CVE-2024-20720
- Rafael Corrêa Gomes (rafaelcg) – CVE-2024-20716
- lboy – CVE-2024-20717
- Alexandrio – CVE-2024-20718
Obs! Adobe har ett privat program ihop med HackerOne för att hitta fel. Gäller endast för inbjudna. Om du är intresserad av att samarbeta med Adobe med en extern säkerhetsundersökning ska du fylla i det här formuläret för nästa steg.
Revisioner
26 juni 2024 – Tog bort icke tillämpliga utökade supportversioner som slutat gälla från berörda versioner och lösningsversionstabeller
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.
