ID bollettino
Ultimo aggiornamento il
21 mar 2025
Aggiornamento di sicurezza disponibile per Adobe Commerce | APSB24-40
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
APSB24-40 |
11 giugno 2024 |
1 |
Riepilogo
Adobe ha rilasciato un aggiornamento di sicurezza per Adobe Commerce, Magento Open Source e il plug-in Adobe Commerce Webhooks. Questo aggiornamento risolve vulnerabilità critiche e importanti. Se sfruttata, tale vulnerabilità potrebbe provocare l’esecuzione di codice arbitrario, l’aggiramento delle funzioni di sicurezza e l’acquisizione illecita di privilegi.
Adobe è consapevole che la vulnerabilità CVE-2024-34102 è stata sfruttata in un numero limitato di attacchi mirati ai commercianti di Adobe Commerce.
Versioni interessate
| Prodotto | Versione | Piattaforma |
|---|---|---|
| Adobe Commerce |
2.4.7 e versioni precedenti 2.4.6-p5 e versioni precedenti 2.4.5-p7 e versioni precedenti 2.4.4-p8 e versioni precedenti 2.4.3-ext-7 e versioni precedenti* 2.4.2-ext-7 e versioni precedenti* |
Tutte |
| Magento Open Source | 2.4.7 e versioni precedenti 2.4.6-p5 e versioni precedenti 2.4.5-p7 e versioni precedenti 2.4.4-p8 e versioni precedenti |
Tutte |
| Plug-in Webhooks di Adobe Commerce |
Da 1.2.0 a 1.4.0 |
Installazione manuale dei plug-in |
Nota: per maggiore chiarezza, vengono ora elencate le versioni interessate per ogni linea di release supportata, e non solo le versioni più recenti.
* Queste versioni sono applicabili solo ai clienti che partecipano al Programma di supporto esteso
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
| Prodotto | Versione aggiornata | Piattaforma | Livello di priorità | Istruzioni per l’installazione |
|---|---|---|---|---|
| Adobe Commerce |
2.4.7-p1 per 2.4.7 e versioni precedenti |
Tutte |
1 | Note sulla versione 2.4.x |
| Magento Open Source |
2.4.7-p1 per 2.4.7 e versioni precedenti |
Tutte |
1 | |
| Plug-in Webhooks di Adobe Commerce |
1.5.0 | Installazione manuale dei plug-in | 1 | Estensioni e moduli di aggiornamento |
| Adobe Commerce e Magento Open Source | Patch isolata per CVE-2024-34102: ACSD-60241
Compatibile con tutte le versioni di Adobe Commerce e Magento Open Source comprese tra 2.4.4 e 2.4.7 |
Tutte | 1 | Note sulla versione per la patch isolata
|
| Nota: * Queste versioni sono applicabili solo ai clienti che partecipano al Programma di supporto esteso | ||||
Dettagli della vulnerabilità
| Categoria della vulnerabilità | Impatto della vulnerabilità | Gravità | Autenticazione obbligatoria per l'utilizzo? | L'utilizzo richiede i privilegi di amministratore? |
Punteggio base CVSS |
Vettore CVSS |
Codice/i CVE | Note |
|---|---|---|---|---|---|---|---|---|
| Server-Side Request Forgery (SSRF) (CWE-918) |
Esecuzione di codice arbitrario |
Critica | Sì | Sì | 8.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
CVE-2024-34111 |
Nessuno |
| Restrizione illecita del riferimento alle entità XML esterne ("XXE") (CWE-611) |
Esecuzione di codice arbitrario |
Critica | No | No | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-34102 |
Nessuno |
| Autenticazione non corretta (CWE-287) |
Acquisizione illecita di privilegi |
Critica | No | No | 8.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-34103 |
Nessuno |
| Autorizzazione impropria (CWE-285) |
Aggiramento della funzione di sicurezza |
Critico |
Sì | No | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-34104 |
Nessuno |
| Convalida dell'input non corretta (CWE-20) |
Esecuzione di codice arbitrario |
Critico |
Sì |
Sì |
9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34108
|
Plug-in Webhooks di Adobe Commerce |
| Convalida dell'input non corretta (CWE-20) |
Esecuzione di codice arbitrario |
Critica | Sì |
Sì |
8.0 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34109 | Plug-in Webhooks di Adobe Commerce |
| Caricamento illimitato di file di tipo pericoloso (CWE-434) |
Esecuzione di codice arbitrario |
Critica | Sì |
Sì |
8.0 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34110 | Plug-in Webhooks di Adobe Commerce |
| Vulnerabilità cross-site scripting (XSS archiviato) (CWE-79) |
Esecuzione di codice arbitrario |
Importante | Sì | Sì | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-34105 | Nessuno |
| Autenticazione non corretta (CWE-287) |
Aggiramento della funzione di sicurezza |
Importante | Sì | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-34106 | Nessuno |
| Controllo di accesso non corretto (CWE-284) |
Aggiramento della funzione di sicurezza |
Importante |
No | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-34107 | Nessuno |
Nota:
La colonna “Autenticazione obbligatoria per l’utilizzo?” chiarisce se, per sfruttare la vulnerabilità elencata, un aggressore deve disporre di credenziali di accesso valide al sistema Commerce.
“Si” indica che, per sfruttare la vulnerabilità, sono richieste credenziali valide ed è necessaria l’autenticazione.
“No” indica che la vulnerabilità può essere sfruttata senza bisogno di credenziali valide e senza eseguire l’autenticazione.
Ringraziamenti
Adobe desidera ringraziare i ricercatori seguenti per aver segnalato questi problemi contribuendo così a proteggere la sicurezza dei nostri clienti:
- wohlie - CVE-2024-34108, CVE-2024-34109, CVE-2024-34110
- T.H. Lassche (thlassche) - CVE-2024-34104, CVE-2024-34107
- spacewasp - CVE-2024-34102
- persata - CVE-2024-34103
- Geluchat (geluchat) - CVE-2024-34105
- Akash Hamal (akashhamal0x01) - CVE-2024-34111
- pranoy_2022 - CVE-2024-34106
NOTA: Adobe dispone di un programma di bug bounty privato, solo su invito, con HackerOne. Se sei interessato a lavorare con Adobe come ricercatore di sicurezza esterno, compila questo modulo per le fasi successive.
Revisioni
11 marzo 2025: testo della nota nella tabella “Dettagli della vulnerabilità” aggiornato.
8 luglio 2024:
- Priorità rivista a 1.
27 giugno 2024:
- Adobe ha fornito una patch isolata per CVE-2024-34102.
26 giugno 2024:
- Priorità del bollettino rivista da 3 a 2. Adobe è a conoscenza dell'esistenza di un writeup pubblicamente disponibile relativo a CVE-2024-34102.
- Versioni di supporto esteso a fine vita non applicabili rimosse dalle tabelle delle versioni interessate e delle soluzioni
Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un'e-mail a PSIRT@adobe.com.
