Bulletin-ID
Senast uppdaterad den
21 mars 2025
Säkerhetsuppdatering tillgänglig för Adobe Commerce | APSB24-40
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB24-40 |
11 juni 2024 |
1 |
Sammanfattning
Adobe har släppt en säkerhetsuppdatering för Adobe Commerce, Magento Open Source och Adobe Commerce Webhooks-tillägget. Den här uppdateringen åtgärdar kritiska och viktiga sårbarheter. En lyckad exploatering kan leda till godtycklig exekvering av kod, kringgående av säkerhetsfunktioner och behörighetseskalering.
Adobe är medvetet om att CVE-2024-34102 har utnyttjats i mycket begränsade angrepp mot Adobe Commerce-handlare.
Berörda versioner
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Commerce |
2.4.7 och tidigare versioner 2.4.6-p5 och tidigare 2.4.5-p7 och tidigare 2.4.4-p8 och tidigare 2.4.3-ext-7 och tidigare* 2.4.2-ext-7 och tidigare* |
Alla |
| Magento Open Source | 2.4.7 och tidigare 2.4.6-p5 och tidigare 2.4.5-p7 och tidigare 2.4.4-p8 och tidigare |
Alla |
| Tillägget Adobe Commerce Webhooks |
1.2.0 till 1.4.0 |
Manuell installation av tillägg |
Obs! För tydlighetens skull listas nu de berörda versionerna för varje versionslinje som stöds istället för bara de senaste versionerna.
* Dessa versioner är endast tillämpliga för kunder som deltar i programmet för utökad support
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
| Produkt | Uppdaterad version | Plattform | Prioritetsklassificering | Installationsanvisningar |
|---|---|---|---|---|
| Adobe Commerce |
2.4.7-p1 för 2.4.7 och tidigare versioner |
Alla |
1 | Versionsinformation 2.4.x |
| Magento Open Source |
2.4.7-p1 för 2.4.7 och tidigare |
Alla |
1 | |
| Tillägget Adobe Commerce Webhooks |
1.5.0 | Manuell installation av tillägg | 1 | Uppgradera moduler och tillägg |
| Adobe Commerce och Magento Open Source | Isolerad korrigering för CVE-2024-34102: ACSD-60241
Kompatibel med alla Adobe Commerce- och Magento Open Source-versioner mellan 2.4.4 – 2.4.7 |
Alla | 1 | Versionsinformation för isolerad korrigering
|
| Obs! * Dessa versioner är endast tillämpliga för kunder som deltar i programmet för utökad support | ||||
Sårbarhetsinformation
| Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | Krävs Authentication för utnyttjande? | Kräver utnyttjande administratörsrättigheter? |
CVSS-baspoäng |
CVSS-vektor |
CVE-nummer | Anteckningar |
|---|---|---|---|---|---|---|---|---|
| Förfalskad begäran på serversidan (SSRF) (CWE-918) |
Exekvering av godtycklig kod |
Kritisk | Ja | Ja | 8.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
CVE-2024-34111 |
Inga |
| Felaktig begränsning av XML för extern enhetsreferens ('XXE') (CWE-611) |
Exekvering av godtycklig kod |
Kritisk | Nej | Nej | 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-34102 |
Inga |
| Felaktig Authentication (CWE-287) |
Eskalering av behörighet |
Kritisk | Nej | Nej | 8.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-34103 |
Inga |
| Felaktig auktorisering (CWE-285) |
Åsidosättning av säkerhetsfunktion |
Kritisk |
Ja | Nej | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-34104 |
Inga |
| Felaktig validering av indata (CWE-20) |
Exekvering av godtycklig kod |
Kritisk |
Ja |
Ja |
9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34108
|
Tillägget Adobe Commerce Webhooks |
| Felaktig validering av indata (CWE-20) |
Exekvering av godtycklig kod |
Kritisk | Ja |
Ja |
8.0 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34109 | Tillägget Adobe Commerce Webhooks |
| Obegränsad uppladdning av fil med farlig typ (CWE-434) |
Exekvering av godtycklig kod |
Kritisk | Ja |
Ja |
8.0 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-34110 | Tillägget Adobe Commerce Webhooks |
| Serveröverskridande skriptning (lagrad XSS) (CWE-79) |
Exekvering av godtycklig kod |
Viktigt | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-34105 | Inga |
| Felaktig Authentication (CWE-287) |
Åsidosättning av säkerhetsfunktion |
Viktigt | Ja | Nej | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-34106 | Inga |
| Felaktig åtkomstkontroll (CWE-284) |
Åsidosättning av säkerhetsfunktion |
Viktig |
Nej | Nej | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-34107 | Inga |
Obs!
Kolumnen ”Krävs Authentication för utnyttjande?” förtydligar om den angivna sårbarheten kräver att en angripare har giltiga inloggningsuppgifter till Commerce-systemet för att kunna utnyttjas framgångsrikt.
“Ja” innebär att giltiga inloggningsuppgifter och en lyckad autentisering krävs för att utnyttjandet ska kunna genomföras.
“Nej” innebär att utnyttjande är möjlig utan giltiga inloggningsuppgifter och autentisering.
Tack
Adobe tackar följande forskare för att de rapporterat problem och för att de samarbetar med oss i säkerhetsfrågor:
- wohlie – CVE-2024-34108, CVE-2024-34109, CVE-2024-34110
- T.H. Lassche (thlassche) - CVE-2024-34104, CVE-2024-34107
- spacewasp – CVE-2024-34102
- persata – CVE-2024-34103
- Geluchat (geluchat) – CVE-2024-34105
- Akash Hamal (akashhamal0x01) – CVE-2024-34111
- pranoy_2022 – CVE-2024-34106
Obs! Adobe har ett privat program ihop med HackerOne för att hitta fel. Gäller endast för inbjudna. Om du är intresserad av att samarbeta med Adobe med en extern säkerhetsundersökning ska du fylla i det här formuläret för nästa steg.
Revisioner
11 mars 2025: Obs: text under tabellen ”Sårbarhetsinformation” har reviderats.
8 juli 2024:
- Prioritering ändrad till 1.
27 juni 2024:
- Adobe har tillhandahållit en isolerad korrigering för CVE-2024-34102.
26 juni 2024:
- Reviderad prioritet för bulletin från 3 till 2. Adobe är medvetna om att det finns en allmänt tillgänglig skrivelse som gäller CVE-2024-34102.
- Tog bort icke tillämpliga utökade supportversioner som slutat gälla från berörda versioner och lösningsversionstabeller
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.
