Adobe-säkerhetsbulletin

Säkerhetsuppdatering tillgänglig för Adobe Commerce | APSB24-73

Bulletin-ID

Publiceringsdatum

Prioritet

APSB24-73

8 oktober 2024

2

Sammanfattning

Adobe har släppt en säkerhetsuppdatering för Adobe Commerce och Magento Open Source. Uppdateringen åtgärdar kritiskaviktiga och måttliga sårbarheter.  Exploatering kan leda till exekvering av godtycklig kod, läsning av godtyckliga filsystem, kringgående av säkerhetsfunktioner och eskalering av behörighet.

Adobe har inga rapporter om att något problem som åtgärdas i dessa uppdateringar ska ha utnyttjats.

Berörda versioner

Produkt Version Plattform
 Adobe Commerce
2.4.7-p2 och tidigare
2.4.6-p7 och tidigare
2.4.5-p9 och tidigare
2.4.4-p10 och tidigare
Alla
Adobe Commerce B2B
1.4.2-p2 och tidigare
1.3.5-p7 och tidigare
1.3.4-p9 och tidigare
1.3.3-p10 och tidigare
Alla
Magento Open Source 2.4.7-p2 och tidigare
2.4.6-p7 och tidigare
2.4.5-p9 och tidigare
2.4.4-p10 och tidigare
Alla

Obs! För tydlighetens skull listas nu de berörda versionerna för varje versionslinje som stöds istället för bara de senaste versionerna.

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.

Produkt Uppdaterad version Plattform Prioritetsklassificering Installationsanvisningar
Adobe Commerce

2.4.7-p3 för 2.4.7-p2 och tidigare
2.4.6-p8 för 2.4.6-p7 och tidigare
2.4.5-p10 för 2.4.5-p9 och tidigare
2.4.4-p11 för 2.4.4-p10 och tidigare

Alla
3

Versionsinformation 2.4.x

 

 

Versionsinformation för isolerad korrigering på CVE-2024-45115

Adobe Commerce B2B
1.4.2-p3 för 1.4.2-p2 och tidigare
1.3.5-p8 för 1.3.5-p7 och tidigare
1.3.4-p10 för 1.3.4-p9 och tidigare
1.3.3-p11 för 1.3.3-p10 och tidigare
Alla 2
Adobe Commerce B2B

Isolerad korrigering för CVE-2024-45115

Kompatibel med alla Adobe Commerce B2B-versioner mellan 1.3.3 – 1.4.2

Alla  2
Magento Open Source 

2.4.7-p3 för 2.4.7-p2 och tidigare
2.4.6-p8 för 2.4.6-p7 och tidigare
2.4.5-p10 för 2.4.5-p9 och tidigare
2.4.4-p11 för 2.4.4-p10 och tidigare

Alla
3

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet Krävs Authentication för utnyttjande? Kräver utnyttjande administratörsrättigheter?
CVSS-baspoäng
CVSS-vektor
CVE-nummer Anteckningar
Felaktig Authentication (CWE-287)
Eskalering av behörighet
Kritisk
Nej Nej 9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2024-45115 Gäller endast B2B-utgåvan
Felaktig Authentication (CWE-287)
Åsidosättning av säkerhetsfunktion
Kritisk Nej Nej 8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2024-45148
Gäller endast B2B-utgåvan
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
Exekvering av godtycklig kod
Kritisk Ja Ja 8.1 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N
CVE-2024-45116  
Felaktig validering av indata (CWE-20)
Godtycklig läsning av filsystem
Kritisk
Ja Ja 7.6 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:L
CVE-2024-45117  
Felaktig åtkomstkontroll (CWE-284)
Åsidosättning av säkerhetsfunktion
Viktig Ja Ja 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
CVE-2024-45118  
Förfalskad begäran på serversidan (SSRF) (CWE-918)
Godtycklig läsning av filsystem
Viktig Ja Ja 5.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N
CVE-2024-45119  
Tid-för-kontroll Tid-för-användning (TOCTOU) Problem vid programkörning (CWE-367)
Åsidosättning av säkerhetsfunktion Måttlig Ja Nej 4.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
CVE-2024-45120  
Felaktig åtkomstkontroll (CWE-284)
Åsidosättning av säkerhetsfunktion
Måttlig Ja Ja 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2024-45121  
Felaktig åtkomstkontroll (CWE-284)
Åsidosättning av säkerhetsfunktion
Måttlig
Ja Ja 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
CVE-2024-45122  
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
Exekvering av godtycklig kod
Kritisk Ja Ja 6.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
CVE-2024-45123  
Felaktig åtkomstkontroll (CWE-284)
Åsidosättning av säkerhetsfunktion
Viktig Ja Nej 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
CVE-2024-45124  
Felaktig auktorisering (CWE-863)
Åsidosättning av säkerhetsfunktion
Måttlig Ja Ja 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2024-45125  
Serveröverskridande skriptning (lagrad XSS) (CWE-79)
Exekvering av godtycklig kod
Kritisk Ja Ja 4.8 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
CVE-2024-45127  
Felaktig auktorisering (CWE-285)
Åsidosättning av säkerhetsfunktion
Viktig Ja Ja 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
CVE-2024-45128  
Felaktig åtkomstkontroll (CWE-284)
Eskalering av behörighet
Måttlig Ja Ja 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2024-45129  
Felaktig åtkomstkontroll (CWE-284)
Åsidosättning av säkerhetsfunktion
Måttlig Ja Ja 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2024-45130  
Felaktig auktorisering (CWE-285)
Åsidosättning av säkerhetsfunktion
Viktig Ja Ja 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
CVE-2024-45131  
Felaktig auktorisering (CWE-285)
Eskalering av behörighet
Viktig Ja Ja 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
CVE-2024-45132  
Felaktig åtkomstkontroll (CWE-284)
Åsidosättning av säkerhetsfunktion
Måttlig Ja Ja 2.7 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N
CVE-2024-45133  
Informationsexponering (CWE-200)
Åsidosättning av säkerhetsfunktion
Måttlig Ja Ja 2.7 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N
CVE-2024-45134  
Felaktig åtkomstkontroll (CWE-284)
Åsidosättning av säkerhetsfunktion
Måttlig Ja Nej 2.7 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N
CVE-2024-45135  
Felaktig åtkomstkontroll (CWE-284)
Åsidosättning av säkerhetsfunktion
Måttlig

Ja Ja 2.7 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N
CVE-2024-45149
 
Obs!

Autentisering krävs för utnyttjande: Sårbarheten kan (eller kan inte) utnyttjas utan autentiseringsuppgifter.


Utnyttjande kräver administratörsrättigheter: Sårbarheten kan (eller kan inte) endast utnyttjas av en angripare med administratörsrättigheter.

Tack

Adobe tackar följande forskare för att de rapporterat problem och för att de samarbetar med oss i säkerhetsfrågor: 

  • Akash Hamal (akashhamal0x01) – CVE-2024-45118, CVE-2024-45120, CVE-2024-45121, CVE-2024-45122, CVE-2024-45128, CVE-2024-45129, CVE-2024-45130, CVE-2024-45131, CVE-2024-45132
  • Blaklis (blaklis) -CVE-2024-45115, CVE-2024-45123, CVE-2024-45133, CVE-2024-45134, CVE-2024-45135, CVE-2024-45148, CVE-2024-45149
  • wohlie – CVE-2024-45117
  • Javier Corral (corraldev) – CVE-2024-45116
  • truff – CVE-2024-45119
  • Prashant Bhattarai (g0ndaar) – CVE-2024-45124
  • n1nj4sec – CVE-2024-45125
  • Tara Owens (tmoh4kr) – CVE-2024-45127

Obs! Adobe har ett privat program ihop med HackerOne för att hitta fel. Gäller endast för inbjudna. Om du är intresserad av att samarbeta med Adobe med en extern säkerhetsundersökning ska du fylla i det här formuläret för nästa steg.


Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.

 Adobe

Få hjälp snabbare och enklare

Ny användare?