Bülten No
Son güncelleme:
21 Mar 2025
Adobe Commerce için güvenlik güncellemesi mevcut | APSB24-40
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB24-40 |
11 Haziran 2024 |
1 |
Özet
Adobe; Adobe Commerce, Magento Open Source ve Adobe Commerce Webhooks Plugin için bir güvenlik güncellemesi yayınladı. Bu güncelleme kritik ve önemli güvenlik açıklarını giderir. Açıktan başarılı bir şekilde yararlanılması, rastgele kod yürütülmesine, güvenlik özelliği atlama ve ayrıcalık yükseltmeye neden olabilir.
Adobe, CVE-2024-34102’nin Adobe Commerce satıcılarını hedef alan sınırlı saldırılarda vahşi ortamda ihlal edildiğinin farkındadır.
Etkilenen Sürümler
| Ürün | Sürüm | Platform |
|---|---|---|
| Adobe Commerce |
2.4.7 ve öncesi 2.4.6-p5 ve öncesi 2.4.5-p7 ve öncesi 2.4.4-p8 ve öncesi 2.4.3-ext-7 ve öncesi* 2.4.2-ext-7 ve öncesi* |
Tümü |
| Magento Open Source | 2.4.7 ve öncesi 2.4.6-p5 ve öncesi 2.4.5-p7 ve öncesi 2.4.4-p8 ve öncesi |
Tümü |
| Adobe Commerce Webhooks Eklentisi |
1.2.0 - 1.4.0 |
Manuel Eklenti Kurulumu |
Not: Daha anlaşılır olması için, etkilenen sürümler artık yalnızca en son sürümler yerine her desteklenen sürüm satırı için listelenmektedir.
* Bu sürümler yalnızca Genişletilmiş Destek Programına katılan müşteriler için geçerlidir
Çözüm
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
| Ürün | Güncel sürüm | Platform | Öncelik Derecelendirmesi | Kurulum Talimatları |
|---|---|---|---|---|
| Adobe Commerce |
2.4.7 ve öncesi için 2.4.7-p1 |
Tümü |
1 | 2.4.x sürüm notları |
| Magento Open Source |
2.4.7 için 2.4.7-p1 ve öncesi |
Tümü |
1 | |
| Adobe Commerce Webhooks Eklentisi |
1.5.0 | Manuel Eklenti Kurulumu | 1 | Modülleri ve Uzantıları Yükseltme |
| Adobe Commerce ve Magento Open Source | CVE-2024-34102 için izole yama: ACSD-60241
Tüm Adobe Commerce ve 2.4.4 - 2.4.7 arasındaki Magento Open Source sürümleri ile uyumludur |
Tümü | 1 |
|
| Not: * Bu sürümler yalnızca Genişletilmiş Destek Programına katılan müşteriler için geçerlidir | ||||
Güvenlik Açığı Detayları
| Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | Açıktan yararlanma için kimlik doğrulama gerekli mi? | Açıktan yararlanma yönetici ayrıcalıkları gerektiriyor mu? |
CVSS baz skoru |
CVSS vektörü |
CVE sayısı | Notlar |
|---|---|---|---|---|---|---|---|---|
| Sunucu Tarafı İstek Sahteciliği (SSRF) (CWE-918) |
Rastgele kod yürütme |
Kritik | Evet | Evet | 8.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
CVE-2024-34111 |
Yok |
| Improper Restriction of XML External Entity Reference ('XXE') (CWE-611) |
Rastgele kod yürütme |
Kritik | Hayır | Hayır | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-34102 |
Yok |
| Uygunsuz Authentication (CWE-287) |
Ayrıcalığı yükseltme |
Kritik | Hayır | Hayır | 8.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-34103 |
Yok |
| Uygunsuz Yetkilendirme (CWE-285) |
Güvenlik özelliği atlatması |
Kritik |
Evet | Hayır | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-34104 |
Yok |
| Uygunsuz Giriş Doğrulaması (CWE-20) |
Rastgele kod yürütme |
Kritik |
Evet |
Evet |
9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34108
|
Adobe Commerce Webhooks Eklentisi |
| Uygunsuz Giriş Doğrulaması (CWE-20) |
Rastgele kod yürütme |
Kritik | Evet |
Evet |
8.0 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34109 | Adobe Commerce Webhooks Eklentisi |
| Tehlikeli Türe Sahip Dosyaların Kısıtlamasız Yüklenmesi (CWE-434) |
Rastgele kod yürütme |
Kritik | Evet |
Evet |
8.0 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34110 | Adobe Commerce Webhooks Eklentisi |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | Evet | Evet | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-34105 | Yok |
| Uygunsuz Authentication (CWE-287) |
Güvenlik özelliği atlatması |
Önemli | Evet | Hayır | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-34106 | Yok |
| Uygunsuz Erişim Kontrolü (CWE-284) |
Güvenlik özelliği atlatması |
Önemli |
Hayır | Hayır | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-34107 | Yok |
Not:
“Açıktan yararlanma için kimlik doğrulama gerekli mi?” sütunu, listelenen güvenlik açığından başarılı bir şekilde yararlanmak için saldırganın Commerce sisteminde geçerli oturum açma kimlik bilgilerine sahip olmasını gerektirip gerektirmediğini açıklar.
“Evet”, açıktan yararlanmanın başarılı olabilmesi için geçerli kimlik bilgilerinin ve başarılı kimlik doğrulamanın gerekli olduğu anlamına gelir.
“Hayır”, geçerli kimlik bilgileri ve kimlik doğrulama olmadan açıktan yararlanmanın mümkün olduğu anlamına gelir.
Teşekkür
Adobe, bu sorunları bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- wohlie - CVE-2024-34108, CVE-2024-34109, CVE-2024-34110
- T.H. Lassche (thlassche) - CVE-2024-34104, CVE-2024-34107
- spacewasp - CVE-2024-34102
- persata - CVE-2024-34103
- Geluchat (geluchat) - CVE-2024-34105
- Akash Hamal (akashhamal0x01) - CVE-2024-34111
- pranoy_2022 - CVE-2024-34106
NOT: Adobe'nin HackerOne ile özel, yalnızca davetlilere açık, hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen sonraki adımlar için bu formu doldurun.
Değişiklikler
11 Mart 2025: Not “Güvenlik Açığı Detayları” tablosunun altındaki metin revize edilmiştir.
8 Temmuz 2024:
- Öncelik 1 olarak revize edilmiştir.
27 Haziran 2024:
- Adobe, CVE-2024-34102 için izole bir yama sağlamıştır.
26 Haziran 2024:
- Bülten önceliği 3'ten 2'ye revize edildi. Adobe, CVE-2024-34102 ile ilgili halka açık bir yazı bulunduğunun farkındadır.
- Uygulanamayan kullanım ömrü sonu genişletilmiş destek sürümleri Etkilenen ve Çözüm sürümleri tablolarından kaldırıldı
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.
