Bülten No
Son güncelleme:
26 Ağu 2024
Adobe Commerce için güvenlik güncellemesi mevcut | APSB24-61
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB24-61 |
13 Ağustos 2024 |
3 |
Özet
Adobe, Adobe Commerce ve Magento Open Source için güvenlik güncellemeleri yayınladı. Bu güncelleme kritik, önemli ve orta seviye güvenlik açıklıklarını çözer. Güvenlik açığından başarılı bir şekilde yararlanılması, rastgele kod yürütülmesine, güvenlik özelliğinin atlanmasına ve ayrıcalık artışına neden olabilir.
Etkilenen Sürümler
| Ürün | Sürüm | Platform |
|---|---|---|
| Adobe Commerce |
2.4.7-p1 ve öncesi 2.4.6-p6 ve öncesi 2.4.5-p8 ve öncesi 2.4.4-p9 ve öncesi |
Tümü |
| Magento Open Source | 2.4.7-p1 ve öncesi 2.4.6-p6 ve öncesi 2.4.5-p8 ve öncesi 2.4.4-p9 ve öncesi |
Tümü |
Not: Daha anlaşılır olması için, etkilenen sürümler artık yalnızca en son sürümler yerine her desteklenen sürüm satırı için listelenmektedir.
Çözüm
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
| Ürün | Güncel sürüm | Platform | Öncelik Derecelendirmesi | Kurulum Talimatları |
|---|---|---|---|---|
| Adobe Commerce |
2.4.7-p1 için 2.4.7-p2 ve öncesi |
Tümü |
3 | 2.4.x sürüm notları |
| Magento Open Source |
2.4.7-p1 için 2.4.7-p2 ve öncesi |
Tümü |
3 | |
| Adobe Commerce ve Magento Open Source | CVE-2024-39397 için izole yama
Tüm Adobe Commerce ve 2.4.4 - 2.4.7 arasındaki Magento Open Source sürümleri ile uyumludur |
Tümü | 3 | CVE-2024-39397 İzole Yaması için Sürüm Notları
|
Güvenlik Açığı Detayları
| Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | Açıktan yararlanma için kimlik doğrulama gerekli mi? | Açıktan yararlanma yönetici ayrıcalıkları gerektiriyor mu? |
CVSS baz skoru |
CVSS vektörü |
CVE sayısı | Notlar |
|---|---|---|---|---|---|---|---|---|
| Tehlikeli Türe Sahip Dosyaların Kısıtlamasız Yüklenmesi (CWE-434) |
Rastgele kod yürütme |
Kritik |
No | No | 9.0 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
CVE-2024-39397 | Yalnızca Apache web sunucusunu kullanan satıcılar etkilenir |
| Aşırı Kimlik Doğrulama Girişimlerinin Uygunsuz Kısıtlanması (CWE-307) |
Güvenlik özelliği atlatması |
Kritik |
Evet | Evet | 7.4 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
CVE-2024-39398 | |
| Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') CWE-22) |
Rastgele sistem dosyası okunması |
Kritik |
Evet | Evet | 7.7 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
CVE-2024-39399 | |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Kritik |
Evet | Evet | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-39400 | |
| Bir İşletim Sistemi Komutunda Kullanılan Özel Unsurların Uygun Olmayan Şekilde Etkisiz Hale Getirilmesi ('İşletim Sistemi Komut Enjeksiyonu') (CWE-78) |
Rastgele kod yürütme |
Kritik |
Evet | Evet | 8.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
CVE-2024-39401 | |
| Bir İşletim Sistemi Komutunda Kullanılan Özel Unsurların Uygun Olmayan Şekilde Etkisiz Hale Getirilmesi ('İşletim Sistemi Komut Enjeksiyonu') (CWE-78) |
Rastgele kod yürütme |
Kritik |
Evet | Evet | 8.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H | CVE-2024-39402 | |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Kritik |
Evet | Evet | 7.6 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N |
CVE-2024-39403 | |
| Bilgi Açığa Çıkması (CWE-200) |
Güvenlik özelliği atlatması |
Önemli | Evet | Evet | 6.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2024-39406 | |
| Uygunsuz Erişim Kontrolü (CWE-284) |
Ayrıcalığı yükseltme |
Orta Dereceli | Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39404 | |
| Uygunsuz Erişim Kontrolü (CWE-284) |
Güvenlik özelliği atlatması |
Orta Dereceli | Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39405 | |
| Yanlış Yetkilendirme (CWE-863) |
Güvenlik özelliği atlatması |
Orta Dereceli | Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39407 | |
| Cross-Site Request Forgery (CSRF) (CWE-352) |
Güvenlik özelliği atlatması |
Orta Dereceli | Evet | No | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-39408 | |
| Cross-Site Request Forgery (CSRF) (CWE-352) |
Güvenlik özelliği atlatması |
Orta Dereceli | Evet | No | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-39409 | |
| Cross-Site Request Forgery (CSRF) (CWE-352) |
Güvenlik özelliği atlatması |
Orta Dereceli | Evet | No | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39410 | |
| Uygunsuz Erişim Kontrolü (CWE-284) |
Ayrıcalığı yükseltme |
Orta Dereceli | Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39411 | |
| Uygunsuz Yetkilendirme (CWE-285) |
Güvenlik özelliği atlatması |
Orta Dereceli | Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39412 | |
| Uygunsuz Yetkilendirme (CWE-285) |
Güvenlik özelliği atlatması |
Orta Dereceli | Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39413 | |
| Uygunsuz Erişim Kontrolü (CWE-284) |
Ayrıcalığı yükseltme |
Orta Dereceli | Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39414 | |
| Uygunsuz Yetkilendirme (CWE-285) |
Güvenlik özelliği atlatması |
Orta Dereceli | Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39415 | |
| Uygunsuz Yetkilendirme (CWE-285) |
Güvenlik özelliği atlatması |
Orta Dereceli | Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | CVE-2024-39416 | |
| Uygunsuz Yetkilendirme (CWE-285) |
Güvenlik özelliği atlatması |
Orta Dereceli | Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-39417 | |
| Uygunsuz Yetkilendirme (CWE-285) |
Güvenlik özelliği atlatması |
Orta Dereceli | Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | CVE-2024-39418 | |
| Uygunsuz Erişim Kontrolü (CWE-284) |
Ayrıcalığı yükseltme |
Orta Dereceli | Evet | Evet | 4.3 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2024-39419 |
Not:
Açıktan yararlanmak için kimlik doğrulaması gerekiyor: Güvenlik açığından kimlik bilgileri olmadan yararlanılabilir (veya yararlanılamaz).
Yönetici ayrıcalıkları gerektirir: Güvenlik açığından yalnızca yönetici ayrıcalıklarına sahip bir saldırgan yararlanabilir (veya yararlanamaz).
Teşekkür
Adobe, bu sorunları bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- Akash Hamal (akashhamal0x01) - CVE-2024-39404, CVE-2024-39405, CVE-2024-39407, CVE-2024-39411, CVE-2024-39412, CVE-2024-39413, CVE-2024-39414, CVE-2024-39415, CVE-2024-39416, CVE-2024-39417, CVE-2024-39418, CVE-2024-39419
- wohlie - CVE-2024-39401, CVE-2024-39402, CVE-2024-39403
- Javier Corral (corraldev) - CVE-2024-39398, CVE-2024-39400
- Alexandrio (alexandrio) - CVE-2024-39408, CVE-2024-39409
- Blaklis (blaklis) - CVE-2024-39406, CVE-2024-39410
- T.H. Lassche (thlassche) - CVE-2024-39397
- Icare (icare) - CVE-2024-39399
NOT: Adobe'nin HackerOne ile özel, yalnızca davetlilere açık, hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen sonraki adımlar için bu formu doldurun.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.
Adobe MAX
Yaratıcılık Konferansı
14–16 Ekim Miami Beach ve çevrimiçi
Adobe MAX
Yaratıcılık Konferansı
14–16 Ekim Miami Beach ve çevrimiçi