Бюллетень безопасности Adobe

Поиск

Последнее обновление 26 июл. 2024 г.

Обновление безопасности для Adobe Commerce | APSB24-40

Идентификатор бюллетеня	Дата публикации	Приоритет
APSB24-40	11 июня 2024 г.	1

Сводка

Компания Adobe выпустила обновление системы безопасности для Adobe Commerce,  Magento Open Source и Adobe Commerce Webhooks Plugin. Это обновление позволяет устранить критические и важные уязвимости.  Эксплуатация уязвимости может привести к выполнению произвольного кода, обходу функции безопасности и повышению уровня полномочий.

Adobe известно, что уязвимость CVE-2024-34102 активно использовалась в очень ограниченных атаках, нацеленных на продавцов Adobe Commerce.

Затронутые версии

Продукт	Версия	Платформа
Adobe Commerce	2.4.7 и более ранние версии 2.4.6-p5 и более ранние версии 2.4.5-p7 и более ранние версии 2.4.4-p8 и более ранние версии 2.4.3-ext-7 и более ранние версии* 2.4.2-ext-7 и более ранние версии*	Все
Magento Open Source	2.4.7 и более ранние версии 2.4.6-p5 и более ранние версии 2.4.5-p7 и более ранние версии 2.4.4-p8 и более ранние версии	Все
Adobe Commerce Webhooks Plugin	1.2.0 по 1.4.0	Ручная установка внешних модулей

Примечание. Для ясности, затронутые версии теперь перечислены для каждой линии выпуска, а не только для самых последних версий.

*Эти версии применимы только для клиентов, участвующих в программе расширенной поддержки

Решение

Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.

Продукт	Обновленная версия	Платформа	Рейтинг приоритета	Инструкции по установке
Adobe Commerce	2.4.7-p1 для 2.4.7 и более ранних версий 2.4.6-p6 для 2.4.6-p5 и более ранних версий 2.4.5-p8 для 2.4.5-p7 и более ранних версий 2.4.4-p9 для 2.4.4-p8 и более ранних версий 2.4.3-ext-8 для 2.4.3-ext-7 и более ранних версий* 2.4.2-ext-8 для 2.4.2-ext-7 и более ранних версий*	Все	1	Заметки о выпуске 2.4.x
Magento Open Source	2.4.7-p1 для 2.4.7 и более ранних версий 2.4.6-p6 для 2.4.6-p5 и более ранних версий 2.4.5-p8 для 2.4.5-p7 и более ранних версий 2.4.4-p9 для 2.4.4-p8 и более ранних версий	Все	1	Заметки о выпуске 2.4.x
Adobe Commerce Webhooks Plugin	1.5.0	Ручная установка внешних модулей	1	Обновление модулей и расширений
Adobe Commerce и Magento Open Source	Изолированное исправление для CVE-2024-34102: ACSD-60241 Совместимость со всеми версиями Adobe Commerce и Magento Open Source между 2.4.4 - 2.4.7	Все	1	Заметки о выпуске для изолированного исправления
*Примечание. Эти версии применимы только для клиентов, участвующих в** программе расширенной поддержки

Сведения об уязвимости

Категория уязвимости	Влияние уязвимости	Серьезность	Требуется ли аутентификация для использования?	Для использования нужны права администратора?	Базовая оценка CVSS	Вектор CVSS	Номера CVE	Заметки
Подделка запросов на сервере (SSRF) (CWE-918)	Выполнение произвольного кода	Критическая	Да	Да	8.5	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N	CVE-2024-34111	Нет
Несоответствующее ограничение ссылки на внешний объект ('XXE') (CWE-611)	Выполнение произвольного кода	Критическая	Нет	Нет	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	CVE-2024-34102	Нет
Неправильная аутентификация (CWE-287)	Повышение уровня полномочий	Критическая	Нет	Нет	8.1	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H	CVE-2024-34103	Нет
Неправильная авторизация (CWE-285)	Обход функции безопасности	Критическая	Да	Нет	8.2	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N	CVE-2024-34104	Нет
Неправильная проверка ввода (CWE-20)	Выполнение произвольного кода	Критическая	Да	Да	9.1	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H	CVE-2024-34108	Adobe Commerce Webhooks Plugin
Неправильная проверка ввода (CWE-20)	Выполнение произвольного кода	Критическая	Да	Да	8.0	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H	CVE-2024-34109	Adobe Commerce Webhooks Plugin
Неограниченная загрузка файлов опасного типа (CWE-434)	Выполнение произвольного кода	Критическая	Да	Да	8.0	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H	CVE-2024-34110	Adobe Commerce Webhooks Plugin
Межсайтовый скриптинг (сохраненный) (CWE-79)	Выполнение произвольного кода	Важная	Да	Да	4.8	CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N	CVE-2024-34105	Нет
Неправильная аутентификация (CWE-287)	Обход функции безопасности	Важная	Да	Нет	5.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N	CVE-2024-34106	Нет
Неправильный контроль доступа (CWE-284)	Обход функции безопасности	Важная	Нет	Нет	5.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N	CVE-2024-34107	Нет

Примечание.

Для использования требуется аутентификация: Уязвимость может (или не может) использоваться без учетных данных.

Для использования нужны права администратора: Уязвимость может (или не может) использоваться только злоумышленником с правами администратора.

Благодарности

Компания Adobe выражает благодарность следующим исследователям за сообщение об этих проблемах и за помощь Adobe в защите наших клиентов:

wohlie: CVE-2024-34108, CVE-2024-34109, CVE-2024-34110
T.H. Lassche (thlassche): CVE-2024-34104, CVE-2024-34107
spacewasp: CVE-2024-34102
persata: CVE-2024-34103
Geluchat (geluchat): CVE-2024-34105
Akash Hamal (akashhamal0x01): CVE-2024-34111
pranoy_2022: CVE-2024-34106

ПРИМЕЧАНИЕ. Adobe имеет частную, доступную только для приглашенных программу Bug bounty с HackerOne. Если вы заинтересованы в сотрудничестве с Adobe в качестве внешнего исследователя безопасности, заполните эту форму.

Редакции

8 июля 2024 г.:

Приоритет изменен на 1.

27 июня 2024 г.:

Компания Adobe выпустила изолированное исправление для CVE-2024-34102.

26 июня 2024 г.:

Приоритет бюллетеня изменен с 3 на 2. Компании Adobe известно, что существует общедоступная запись, связанная с CVE-2024-34102.
Удалены неприменимые версии расширенной поддержки программного обеспечения с истекшим сроком эксплуатации из таблиц затронутых версий и версий решений

Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com.