Bülten No
Son güncelleme:
23 Eki 2024
Adobe Commerce için güvenlik güncellemesi mevcut | APSB24-73
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB24-73 |
8 Ekim 2024 |
2 |
Özet
Adobe, Adobe Commerce ve Magento Open Source için güvenlik güncellemeleri yayınladı. Bu güncelleme kritik, önemli ve orta seviye güvenlik açıklıklarını çözer. Güvenlik açığından başarılı bir şekilde yararlanılması, rastgele kod yürütülmesine, güvenlik özelliğinin atlanmasına ve ayrıcalık artışına neden olabilir.
Adobe, bu güncellemelerde ele alınan sorunların şirket dışında yaşandığına dair bir duyum almamıştır.
Etkilenen Sürümler
| Ürün | Sürüm | Platform |
|---|---|---|
| Adobe Commerce |
2.4.7-p2 ve öncesi 2.4.6-p7 ve öncesi 2.4.5-p9 ve öncesi 2.4.4-p10 ve öncesi |
Tümü |
| Adobe Commerce B2B |
1.4.2-p2 ve öncesi 1.3.5-p7 ve öncesi 1.3.4-p9 ve öncesi 1.3.3-p10 ve öncesi |
Tümü |
| Magento Open Source | 2.4.7-p2 ve öncesi 2.4.6-p7 ve öncesi 2.4.5-p9 ve öncesi 2.4.4-p10 ve öncesi |
Tümü |
Not: Daha anlaşılır olması için, etkilenen sürümler artık yalnızca en son sürümler yerine her desteklenen sürüm satırı için listelenmektedir.
Çözüm
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
| Ürün | Güncel sürüm | Platform | Öncelik Derecelendirmesi | Kurulum Talimatları |
|---|---|---|---|---|
| Adobe Commerce |
2.4.7-p2 ve öncesi için 2.4.7-p3 |
Tümü |
3 |
|
| Adobe Commerce B2B |
1.4.2-p2 ve öncesi için 1.4.2-p3 1.3.5-p7 ve öncesi için 1.3.5-p8 1.3.4-p9 ve öncesi için 1.3.4-p10 1.3.3-p10 ve öncesi için 1.3.3-p11 |
Tümü | 2 | |
| Adobe Commerce B2B |
CVE-2024-45115 için izole yama Adobe Commerce B2B'nin 1.3.3 ve 1.4.2 arasındaki tüm sürümleriyle uyumludur |
Tümü | 2 | |
| Magento Open Source |
2.4.7-p2 ve öncesi için 2.4.7-p3 |
Tümü |
3 |
Güvenlik Açığı Detayları
| Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | Açıktan yararlanma için kimlik doğrulama gerekli mi? | Açıktan yararlanma yönetici ayrıcalıkları gerektiriyor mu? |
CVSS baz skoru |
CVSS vektörü |
CVE sayısı | Notlar |
|---|---|---|---|---|---|---|---|---|
| Uygunsuz Authentication (CWE-287) |
Ayrıcalığı yükseltme |
Kritik |
No | No | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-45115 | Yalnızca B2B sürümü için geçerlidir |
| Uygunsuz Authentication (CWE-287) |
Güvenlik özelliği atlatması |
Kritik | No | No | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-45148 |
Yalnızca B2B sürümü için geçerlidir |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Kritik | Evet | Evet | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-45116 | |
| Uygunsuz Giriş Doğrulaması (CWE-20) |
Rastgele sistem dosyası okunması |
Kritik |
Evet | Evet | 7.6 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:L |
CVE-2024-45117 | |
| Uygunsuz Erişim Kontrolü (CWE-284) |
Güvenlik özelliği atlatması |
Önemli | Evet | Evet | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
CVE-2024-45118 | |
| Sunucu Tarafı İstek Sahteciliği (SSRF) (CWE-918) |
Rastgele sistem dosyası okunması |
Önemli | Evet | Evet | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N |
CVE-2024-45119 | |
| Kontrol Zamanı Kullanım Zamanı (TOCTOU) Yarış Koşulu (CWE-367) |
Güvenlik özelliği atlatması | Orta Dereceli | Evet | No | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-45120 | |
| Uygunsuz Erişim Kontrolü (CWE-284) |
Güvenlik özelliği atlatması |
Orta Dereceli | Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-45121 | |
| Uygunsuz Erişim Kontrolü (CWE-284) |
Güvenlik özelliği atlatması |
Orta Dereceli |
Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-45122 | |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Kritik | Evet | Evet | 6.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-45123 | |
| Uygunsuz Erişim Kontrolü (CWE-284) |
Güvenlik özelliği atlatması |
Önemli | Evet | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-45124 | |
| Yanlış Yetkilendirme (CWE-863) |
Güvenlik özelliği atlatması |
Orta Dereceli | Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-45125 | |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Kritik | Evet | Evet | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-45127 | |
| Uygunsuz Yetkilendirme (CWE-285) |
Güvenlik özelliği atlatması |
Önemli | Evet | Evet | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L |
CVE-2024-45128 | |
| Uygunsuz Erişim Kontrolü (CWE-284) |
Ayrıcalığı yükseltme |
Orta Dereceli | Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-45129 | |
| Uygunsuz Erişim Kontrolü (CWE-284) |
Güvenlik özelliği atlatması |
Orta Dereceli | Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-45130 | |
| Uygunsuz Yetkilendirme (CWE-285) |
Güvenlik özelliği atlatması |
Önemli | Evet | Evet | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
CVE-2024-45131 | |
| Uygunsuz Yetkilendirme (CWE-285) |
Ayrıcalığı yükseltme |
Önemli | Evet | Evet | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2024-45132 | |
| Uygunsuz Erişim Kontrolü (CWE-284) |
Güvenlik özelliği atlatması |
Orta Dereceli | Evet | Evet | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-45133 | |
| Bilgi Açığa Çıkması (CWE-200) |
Güvenlik özelliği atlatması |
Orta Dereceli | Evet | Evet | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-45134 | |
| Uygunsuz Erişim Kontrolü (CWE-284) |
Güvenlik özelliği atlatması |
Orta Dereceli | Evet | No | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-45135 | |
| Uygunsuz Erişim Kontrolü (CWE-284) |
Güvenlik özelliği atlatması |
Orta Dereceli |
Evet | Evet | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-45149 |
Not:
Açıktan yararlanmak için kimlik doğrulaması gerekiyor: Güvenlik açığından kimlik bilgileri olmadan yararlanılabilir (veya yararlanılamaz).
Yönetici ayrıcalıkları gerektirir: Güvenlik açığından yalnızca yönetici ayrıcalıklarına sahip bir saldırgan yararlanabilir (veya yararlanamaz).
Teşekkür
Adobe, bu sorunları bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- Akash Hamal (akashhamal0x01) - CVE-2024-45118, CVE-2024-45120, CVE-2024-45121, CVE-2024-45122, CVE-2024-45128, CVE-2024-45129, CVE-2024-45130, CVE-2024-45131, CVE-2024-45132
- Blaklis (blaklis) -CVE-2024-45115, CVE-2024-45123, CVE-2024-45133, CVE-2024-45134, CVE-2024-45135, CVE-2024-45148, CVE-2024-45149
- wohlie - CVE-2024-45117
- Javier Corral (corraldev) - CVE-2024-45116
- truff - CVE-2024-45119
- Prashant Bhattarai (g0ndaar) - CVE-2024-45124
- n1nj4sec - CVE-2024-45125
- Tara Owens (tmoh4kr) - CVE-2024-45127
NOT: Adobe'nin HackerOne ile özel, yalnızca davetlilere açık, hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen sonraki adımlar için bu formu doldurun.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.
