Бюллетень безопасности Adobe

Поиск

Последнее обновление 5 июл. 2024 г.

Обновление безопасности для Adobe Commerce | APSB24-03

Идентификатор бюллетеня	Дата публикации	Приоритет
APSB24-03	13 февраля 2024 г.	3

Сводка

Компания Adobe выпустила обновление системы безопасности для Adobe Commerce и Magento Open Source. В этом обновлении устранены критические, важные и средние уязвимости.  Эксплуатация уязвимости могла привести к выполнению произвольного кода, обходу функций безопасности и отказу в обслуживании приложения.

Затронутые версии

Продукт	Версия	Платформа
Adobe Commerce	2.4.6-p3 и более ранние версии 2.4.5-p5 и более ранние версии 2.4.4-p6 и более ранние версии 2.4.3-ext-5 и более ранние версии* 2.4.2-ext-5 и более ранние версии*	Все
Magento Open Source	2.4.6-p3 и более ранние версии 2.4.5-p5 и более ранние версии 2.4.4-p6 и более ранние версии	Все

Примечание. Для ясности, затронутые версии теперь перечислены для каждой линии выпуска, а не только для самых последних версий.

*Эти версии применимы только для клиентов, участвующих в программе расширенной поддержки

Решение

Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.

Продукт	Обновленная версия	Платформа	Рейтинг приоритета	Инструкции по установке
Adobe Commerce	2.4.6-p4 для 2.4.6-p3 и более ранних версий 2.4.5-p6 для 2.4.5-p5 и более ранних версий 2.4.4-p7 для 2.4.4-p6 и более ранних версий 2.4.3-ext-6 для 2.4.3-ext-5 и более ранних версий* 2.4.2-ext-6 для 2.4.2-ext-5 и более ранних версий*	Все	3	Заметки о выпуске 2.4.x
Magento Open Source	2.4.6-p4 для 2.4.6-p3 и более ранних версий 2.4.5-p6 для 2.4.5-p5 и более ранних версий 2.4.4-p7 для 2.4.4-p6 и более ранних версий	Все	3	Заметки о выпуске 2.4.x
*Примечание. Эти версии применимы только для клиентов, участвующих в** программе расширенной поддержки

Сведения об уязвимости

Категория уязвимости	Влияние уязвимости	Серьезность	Требуется ли аутентификация для использования?	Для использования нужны права администратора?	Базовая оценка CVSS	Вектор CVSS	Номера CVE
Межсайтовый скриптинг (сохраненный) (CWE-79)	Выполнение произвольного кода	Критическая	Да	Да	9.1	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H	CVE-2024-20719
Неправильная нейтрализация специальных элементов, используемых в команде ОС («Внедрение команды ОС») (CWE-78)	Выполнение произвольного кода	Критическая	Да	Да	9.1	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H	CVE-2024-20720
Неконтролируемое потребление ресурсов (CWE-400)	Отказ в обслуживании приложения	Важная	Да	Да	5.7	CVSS:3.1/AV:A/AC:L/PR:H/UI:R/S:C/C:N/I:N/A:H	CVE-2024-20716
Межсайтовый скриптинг (сохраненный) (CWE-79)	Выполнение произвольного кода	Важная	Да	Да	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2024-20717
Подделка межсайтовых запросов (CSRF) (CWE-352)	Обход функции безопасности	Средняя	Да	Нет	4.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N	CVE-2024-20718

Примечание.

Для использования требуется аутентификация: Уязвимость может (или не может) использоваться без учетных данных.

Для использования нужны права администратора: Уязвимость может (или не может) использоваться только злоумышленником с правами администратора.

Благодарности

Компания Adobe выражает благодарность следующим исследователям за сообщение об этих проблемах и за помощь Adobe в защите наших клиентов:

Blaklis — CVE-2024-20719, CVE-2024-20720
Рафаэль Корреа Гомес (rafaelcg) — CVE-2024-20716
lboy — CVE-2024-20717
Alexandrio — CVE-2024-20718

ПРИМЕЧАНИЕ. Adobe имеет частную, доступную только для приглашенных программу Bug bounty с HackerOne. Если вы заинтересованы в сотрудничестве с Adobe в качестве внешнего исследователя безопасности, заполните эту форму.

Редакции

26 июня 2024 г.: удалены неприменимые версии расширенной поддержки программного обеспечения с истекшим сроком эксплуатации из таблиц затронутых версий и версий решений

Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com.