Bulletin-ID
Säkerhetsuppdatering tillgänglig för Adobe Commerce | APSB24-73
|
Publiceringsdatum |
Prioritet |
---|---|---|
APSB24-73 |
8 oktober 2024 |
2 |
Sammanfattning
Adobe har släppt en säkerhetsuppdatering för Adobe Commerce och Magento Open Source. Uppdateringen åtgärdar kritiska, viktiga och måttliga sårbarheter. Exploatering kan leda till exekvering av godtycklig kod, läsning av godtyckliga filsystem, kringgående av säkerhetsfunktioner och eskalering av behörighet.
Adobe har inga rapporter om att något problem som åtgärdas i dessa uppdateringar ska ha utnyttjats.
Berörda versioner
Produkt | Version | Plattform |
---|---|---|
Adobe Commerce |
2.4.7-p2 och tidigare 2.4.6-p7 och tidigare 2.4.5-p9 och tidigare 2.4.4-p10 och tidigare |
Alla |
Adobe Commerce B2B |
1.4.2-p2 och tidigare 1.3.5-p7 och tidigare 1.3.4-p9 och tidigare 1.3.3-p10 och tidigare |
Alla |
Magento Open Source | 2.4.7-p2 och tidigare 2.4.6-p7 och tidigare 2.4.5-p9 och tidigare 2.4.4-p10 och tidigare |
Alla |
Obs! För tydlighetens skull listas nu de berörda versionerna för varje versionslinje som stöds istället för bara de senaste versionerna.
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
Produkt | Uppdaterad version | Plattform | Prioritetsklassificering | Installationsanvisningar |
---|---|---|---|---|
Adobe Commerce |
2.4.7-p3 för 2.4.7-p2 och tidigare |
Alla |
3 |
Versionsinformation för isolerad korrigering på CVE-2024-45115 |
Adobe Commerce B2B |
1.4.2-p3 för 1.4.2-p2 och tidigare 1.3.5-p8 för 1.3.5-p7 och tidigare 1.3.4-p10 för 1.3.4-p9 och tidigare 1.3.3-p11 för 1.3.3-p10 och tidigare |
Alla | 2 | |
Adobe Commerce B2B |
Isolerad korrigering för CVE-2024-45115 Kompatibel med alla Adobe Commerce B2B-versioner mellan 1.3.3 – 1.4.2 |
Alla | 2 | |
Magento Open Source |
2.4.7-p3 för 2.4.7-p2 och tidigare |
Alla |
3 |
Sårbarhetsinformation
Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | Krävs Authentication för utnyttjande? | Kräver utnyttjande administratörsrättigheter? |
CVSS-baspoäng |
CVSS-vektor |
CVE-nummer | Anteckningar |
---|---|---|---|---|---|---|---|---|
Felaktig Authentication (CWE-287) |
Eskalering av behörighet |
Kritisk |
Nej | Nej | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-45115 | Gäller endast B2B-utgåvan |
Felaktig Authentication (CWE-287) |
Åsidosättning av säkerhetsfunktion |
Kritisk | Nej | Nej | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-45148 |
Gäller endast B2B-utgåvan |
Serveröverskridande skriptning (lagrad XSS) (CWE-79) |
Exekvering av godtycklig kod |
Kritisk | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-45116 | |
Felaktig validering av indata (CWE-20) |
Godtycklig läsning av filsystem |
Kritisk |
Ja | Ja | 7.6 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:L |
CVE-2024-45117 | |
Felaktig åtkomstkontroll (CWE-284) |
Åsidosättning av säkerhetsfunktion |
Viktig | Ja | Ja | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
CVE-2024-45118 | |
Förfalskad begäran på serversidan (SSRF) (CWE-918) |
Godtycklig läsning av filsystem |
Viktig | Ja | Ja | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N |
CVE-2024-45119 | |
Tid-för-kontroll Tid-för-användning (TOCTOU) Problem vid programkörning (CWE-367) |
Åsidosättning av säkerhetsfunktion | Måttlig | Ja | Nej | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-45120 | |
Felaktig åtkomstkontroll (CWE-284) |
Åsidosättning av säkerhetsfunktion |
Måttlig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-45121 | |
Felaktig åtkomstkontroll (CWE-284) |
Åsidosättning av säkerhetsfunktion |
Måttlig |
Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-45122 | |
Serveröverskridande skriptning (lagrad XSS) (CWE-79) |
Exekvering av godtycklig kod |
Kritisk | Ja | Ja | 6.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-45123 | |
Felaktig åtkomstkontroll (CWE-284) |
Åsidosättning av säkerhetsfunktion |
Viktig | Ja | Nej | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-45124 | |
Felaktig auktorisering (CWE-863) |
Åsidosättning av säkerhetsfunktion |
Måttlig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-45125 | |
Serveröverskridande skriptning (lagrad XSS) (CWE-79) |
Exekvering av godtycklig kod |
Kritisk | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-45127 | |
Felaktig auktorisering (CWE-285) |
Åsidosättning av säkerhetsfunktion |
Viktig | Ja | Ja | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L |
CVE-2024-45128 | |
Felaktig åtkomstkontroll (CWE-284) |
Eskalering av behörighet |
Måttlig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-45129 | |
Felaktig åtkomstkontroll (CWE-284) |
Åsidosättning av säkerhetsfunktion |
Måttlig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-45130 | |
Felaktig auktorisering (CWE-285) |
Åsidosättning av säkerhetsfunktion |
Viktig | Ja | Ja | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
CVE-2024-45131 | |
Felaktig auktorisering (CWE-285) |
Eskalering av behörighet |
Viktig | Ja | Ja | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2024-45132 | |
Felaktig åtkomstkontroll (CWE-284) |
Åsidosättning av säkerhetsfunktion |
Måttlig | Ja | Ja | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-45133 | |
Informationsexponering (CWE-200) |
Åsidosättning av säkerhetsfunktion |
Måttlig | Ja | Ja | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-45134 | |
Felaktig åtkomstkontroll (CWE-284) |
Åsidosättning av säkerhetsfunktion |
Måttlig | Ja | Nej | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-45135 | |
Felaktig åtkomstkontroll (CWE-284) |
Åsidosättning av säkerhetsfunktion |
Måttlig |
Ja | Ja | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-45149 |
Autentisering krävs för utnyttjande: Sårbarheten kan (eller kan inte) utnyttjas utan autentiseringsuppgifter.
Utnyttjande kräver administratörsrättigheter: Sårbarheten kan (eller kan inte) endast utnyttjas av en angripare med administratörsrättigheter.
Tack
Adobe tackar följande forskare för att de rapporterat problem och för att de samarbetar med oss i säkerhetsfrågor:
- Akash Hamal (akashhamal0x01) – CVE-2024-45118, CVE-2024-45120, CVE-2024-45121, CVE-2024-45122, CVE-2024-45128, CVE-2024-45129, CVE-2024-45130, CVE-2024-45131, CVE-2024-45132
- Blaklis (blaklis) -CVE-2024-45115, CVE-2024-45123, CVE-2024-45133, CVE-2024-45134, CVE-2024-45135, CVE-2024-45148, CVE-2024-45149
- wohlie – CVE-2024-45117
- Javier Corral (corraldev) – CVE-2024-45116
- truff – CVE-2024-45119
- Prashant Bhattarai (g0ndaar) – CVE-2024-45124
- n1nj4sec – CVE-2024-45125
- Tara Owens (tmoh4kr) – CVE-2024-45127
Obs! Adobe har ett privat program ihop med HackerOne för att hitta fel. Gäller endast för inbjudna. Om du är intresserad av att samarbeta med Adobe med en extern säkerhetsundersökning ska du fylla i det här formuläret för nästa steg.
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.