Bulletin-ID
Senast uppdaterad den
25 nov. 2024
Säkerhetsuppdatering tillgänglig för Adobe Commerce | APSB24-90
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB24-90 |
12 november 2024 |
3 |
Sammanfattning
Adobe har släppt en säkerhetsuppdatering för Adobe Commerce- och Magento Open Source-funktioner som drivs av Commerce-tjänster och distribueras som SaaS (Software as a Service). Uppdateringen åtgärdar en kritisk sårbarhet. Exploatering kan leda till exekvering av godtycklig kod.
Adobe har inga rapporter om att något problem som åtgärdas i dessa uppdateringar ska ha utnyttjats.
Berörda versioner
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Commerce- och Magento Open Source-funktioner som drivs av Commerce-tjänster och distribueras som SaaS (Software as a Service). (Commerce Services Connector) | 3.2.5 och tidigare versioner | Alla |
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
| Produkt | Uppdaterad version | Plattform | Prioritetsklassificering | Installationsanvisningar |
|---|---|---|---|---|
| Adobe Commerce- och Magento Open Source-funktioner som drivs av Commerce-tjänster och distribueras som SaaS (Software as a Service). (Commerce Services Connector) | 3.2.6 |
Alla |
3 |
|
Sårbarhetsinformation
| Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | Krävs Authentication för utnyttjande? | Kräver utnyttjande administratörsrättigheter? |
CVSS-baspoäng |
CVSS-vektor |
CVE-nummer | Anteckningar |
|---|---|---|---|---|---|---|---|---|
| Förfalskad begäran på serversidan (SSRF) (CWE-918) |
Exekvering av godtycklig kod |
Kritisk |
Ja | Ja | 7.7 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
CVE-2024-49521 |
Obs!
Autentisering krävs för utnyttjande: Sårbarheten kan (eller kan inte) utnyttjas utan autentiseringsuppgifter.
Utnyttjande kräver administratörsrättigheter: Sårbarheten kan (eller kan inte) endast utnyttjas av en angripare med administratörsrättigheter.
Tack
Adobe tackar följande forskare för att de rapporterat problem och för att de samarbetar med oss i säkerhetsfrågor:
- Akash Hamal (akashhamal0x01) – CVE-2024-49521
Obs! Adobe har ett privat program ihop med HackerOne för att hitta fel. Gäller endast för inbjudna. Om du är intresserad av att samarbeta med Adobe med en extern säkerhetsundersökning ska du fylla i det här formuläret för nästa steg.
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.
