Adobe 安全性公告

搜尋

上次更新時間 2024年7月5日

發佈 Adobe Commerce 的安全性更新 | APSB24-18

安全性公告 ID	發布日期	優先順序
APSB24-18	2024 年 4 月 9 日	3

摘要

Adobe 已發佈 Adobe Commerce 與 Magento Open Source 的安全性更新。此更新旨在解決重大漏洞。  這些漏洞一旦遭有心人士利用，可能會導致系統任意執行程式碼。

產品	版本	平台
Adobe Commerce	2.4.7-beta3 (含) 以前版本 2.4.6-p4 (含) 以前版本 2.4.5-p6 (含) 以前版本 2.4.4-p7 (含) 以前版本 2.4.3-ext-6 (含) 以前版本* 2.4.2-ext-6 (含) 以前版本*	全部
Magento Open Source	2.4.7-beta3 (含) 以前版本 2.4.6-p4 (含) 以前版本 2.4.5-p6 (含) 以前版本 2.4.4-p7 (含) 以前版本	全部

備註：為清楚標明資訊，列出的受影響版本現在將標示於每項支援的發佈內容列，而非僅顯示最新版本。

* 這些版本僅適用於加入延長支援方案的客戶

Adobe 依照下列優先順序分級將這些更新分類，並建議使用者將其安裝更新至最新版本。

產品	已更新的版本	平台	優先順序分級	安裝說明
Adobe Commerce	2.4.7 適用於 2.4.7-beta3 (含) 以前版本 2.4.6-p5 適用於 2.4.6-p4 (含) 以前版本 2.4.5-p7 適用於 2.4.5-p6 (含) 以前版本 2.4.4-p8 適用於 2.4.4-p7 (含) 以前版本 2.4.3-ext-7適用於 2.4.3-ext-6 (含) 以前版本* 2.4.2-ext-7適用於 2.4.2-ext-6 (含) 以前版本*	全部	3	2.4.x 發行說明
Magento Open Source	2.4.7 適用於 2.4.7-beta3 (含) 以前版本 2.4.6-p5 適用於 2.4.6-p4 (含) 以前版本 2.4.5-p7 適用於 2.4.5-p6 (含) 以前版本 2.4.4-p8 適用於 2.4.4-p7 (含) 以前版本	全部	3	2.4.x 發行說明
*備註：這些版本僅適用於加入延長支援方案的客戶**

漏洞類別	漏洞影響	嚴重性	利用漏洞是否需要驗證？	利用漏洞是否需要管理員權限？	CVSS 基本評分	CVSS 向量	CVE 編號
輸入驗證不當 (CWE-20)	任意執行程式碼	重大	否	否	9	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H	CVE-2024-20758
跨網站指令碼 (已儲存 XSS) (CWE-79)	任意執行程式碼	重大	是	是	8.1	CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N	CVE-2024-20759

註解：

利用漏洞前需進行身分驗證：無需認證即可 (或不可) 利用該漏洞。

利用漏洞需要管理員權限：只有具備管理權限的攻擊者可以 (或不可) 利用該漏洞。

Adobe 在此感謝以下研究人員回報這些問題，與 Adobe 共同保護我們的客戶：

備註：Adobe 與 HackerOne 有一個僅限邀請參加的非公開錯誤懸賞計畫。如果您有興趣以外部安全研究人員身分與 Adobe 合作，請填寫此表單以完成後續步驟。

2024 年 6 月 26 日 - 從受影響與解決方案版本表格中，移除不適用的服務終止延長支援版本

如需詳細資訊，請造訪 https://helpx.adobe.com/tw/security.html，或傳送電子郵件至 PSIRT@adobe.com。

新的使用者？