Bülten No
Son güncelleme:
25 Kas 2024
Adobe Commerce için güvenlik güncellemesi mevcut | APSB24-90
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB24-90 |
12 Kasım 2024 |
3 |
Özet
Adobe, Ticari Hizmetler tarafından desteklenen ve SaaS (hizmet olarak yazılım) şeklinde dağıtılan Adobe Commerce ve Magento Open Source için bir güvenlik güncellemesi yayınladı. Bu güncelleme kritik bir güvenlik açığı sorununu çözer. Güvenlik açığından başarılı bir şekilde yararlanılması, rastgele kod yürütülmesine neden olabilir.
Adobe, bu güncellemelerde ele alınan sorunların şirket dışında yaşandığına dair bir duyum almamıştır.
Etkilenen Sürümler
| Ürün | Sürüm | Platform |
|---|---|---|
| Ticari Hizmetler tarafından desteklenen ve SaaS (hizmet olarak yazılım) şeklinde dağıtılan Adobe Commerce ve Magento Open Source. (Ticari Hizmetler Bağlayıcısı) | 3.2.5 ve önceki sürümler | Tümü |
Çözüm
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
| Ürün | Güncel sürüm | Platform | Öncelik Derecelendirmesi | Kurulum Talimatları |
|---|---|---|---|---|
| Ticari Hizmetler tarafından desteklenen ve SaaS (hizmet olarak yazılım) şeklinde dağıtılan Adobe Commerce ve Magento Open Source.(Ticari Hizmetler Bağlayıcısı) | 3.2.6 |
Tümü |
3 |
|
Güvenlik Açığı Detayları
| Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | Açıktan yararlanma için kimlik doğrulama gerekli mi? | Açıktan yararlanma yönetici ayrıcalıkları gerektiriyor mu? |
CVSS baz skoru |
CVSS vektörü |
CVE sayısı | Notlar |
|---|---|---|---|---|---|---|---|---|
| Sunucu Tarafı İstek Sahteciliği (SSRF) (CWE-918) |
Rastgele kod yürütme |
Kritik |
Evet | Evet | 7.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
CVE-2024-49521 |
Not:
Açıktan yararlanmak için kimlik doğrulaması gerekiyor: Güvenlik açığından kimlik bilgileri olmadan yararlanılabilir (veya yararlanılamaz).
Yönetici ayrıcalıkları gerektirir: Güvenlik açığından yalnızca yönetici ayrıcalıklarına sahip bir saldırgan yararlanabilir (veya yararlanamaz).
Teşekkür
Adobe, bu sorunları bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- Akash Hamal (akashhamal0x01) - CVE-2024-49521
NOT: Adobe'nin HackerOne ile özel, yalnızca davetlilere açık, hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen sonraki adımlar için bu formu doldurun.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.
