Adobe-säkerhetsbulletin

Säkerhetsuppdatering tillgänglig för Adobe Commerce | APSB24-18

Bulletin-ID

Publiceringsdatum

Prioritet

APSB24-18

9 april 2024

3

Sammanfattning

Adobe har släppt säkerhetsuppdateringar för Adobe Commerce och Magento Open Source. Uppdateringen åtgärdar ett antal kritiska sårbarheter.  Ett framgångsrikt utnyttjande kan leda till exekvering av godtycklig kod.

Berörda versioner

Produkt Version Plattform
 Adobe Commerce
2.4.7-beta3 och tidigare
2.4.6-p4 och tidigare
2.4.5-p6 och tidigare
2.4.4-p7 och tidigare
2.4.3-ext-6 och tidigare*
2.4.2-ext-6 och tidigare*
Alla
Magento Open Source 2.4.7-beta3 och tidigare
2.4.6-p4 och tidigare
2.4.5-p6 och tidigare
2.4.4-p7 och tidigare
Alla

Obs! För tydlighetens skull listas nu de berörda versionerna för varje versionslinje som stöds istället för bara de senaste versionerna.

 * Dessa versioner är endast tillämpliga för kunder som deltar i programmet för utökad support

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.

 

Produkt Uppdaterad version Plattform Prioritetsklassificering Installationsanvisningar
Adobe Commerce

2.4.7 för 2.4.7-beta3 och tidigare
2.4.6-p5 för 2.4.6-p4 och tidigare
2.4.5-p7 för 2.4.5-p6 och tidigare
2.4.4-p8 för 2.4.4-p7 och tidigare
2.4.3-ext-7 för 2.4.3-ext-6 och tidigare*
2.4.2-ext-7 för 2.4.2-ext-6 och tidigare*

Alla
3 Versionsinformation 2.4.x
Magento Open Source 

2.4.7 för 2.4.7-beta3 och tidigare
2.4.6-p5 för 2.4.6-p4 och tidigare
2.4.5-p7 för 2.4.5-p6 och tidigare
2.4.4-p8 för 2.4.4-p7 och tidigare

Alla
3
Obs! * Dessa versioner är endast tillämpliga för kunder som deltar i programmet för utökad support

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet Krävs Authentication för utnyttjande? Kräver utnyttjande administratörsrättigheter?
CVSS-baspoäng
CVSS-vektor
CVE-nummer
Felaktig validering av indata (CWE-20)
Exekvering av godtycklig kod
Kritisk Nej Nej 9 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
CVE-2024-20758
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
Exekvering av godtycklig kod
Kritisk Ja Ja 8.1 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N
CVE-2024-20759
Obs!

Autentisering krävs för utnyttjande: Sårbarheten kan (eller kan inte) utnyttjas utan autentiseringsuppgifter.


Utnyttjande kräver administratörsrättigheter: Sårbarheten kan (eller kan inte) endast utnyttjas av en angripare med administratörsrättigheter.

Tack

Adobe tackar följande forskare för att de rapporterat problem och för att de samarbetar med oss i säkerhetsfrågor: 

  • Blaklis – CVE-2024-20758
  • truff – CVE-2024-20759

Obs! Adobe har ett privat program ihop med HackerOne för att hitta fel. Gäller endast för inbjudna. Om du är intresserad av att samarbeta med Adobe med en extern säkerhetsundersökning ska du fylla i det här formuläret för nästa steg.

Revisioner

26 juni 2024  – Tog bort icke tillämpliga utökade supportversioner som slutat gälla från berörda versioner och lösningsversionstabeller


Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.

 Adobe

Få hjälp snabbare och enklare

Ny användare?

Adobe MAX 2024

Adobe MAX

The Creativity Conference

14–16 oktober i Miami Beach och online

Adobe MAX 2024

Adobe MAX

The Creativity Conference

14–16 oktober i Miami Beach och online