Adobe ha rilasciato un aggiornamento di sicurezza per Adobe Commerce e Magento Open Source. Questo aggiornamento risolve le vulnerabilità critiche , importanti e moderate . Uno sfruttamento riuscito potrebbe portare all’esecuzione di codice arbitrario, all’esclusione delle funzionalità di sicurezza e al rifiuto di servizio dell’applicazione.
Versioni interessate
Prodotto | Versione | piattaforma |
---|---|---|
Adobe Commercio | 2.4.6-p3 e precedenti 2.4.5-p5 e precedenti 2.4.4-p6 e precedenti 2.4.3-ext-5 e precedenti* 2.4.2-ext-5 e precedenti* 2.4.1-ext-5 e precedenti * 2.4.0-ext-5 e versioni precedenti* 2.3.7-p4-ext-5 e versioni precedenti* | Tutto |
Magento Open Source | 2.4.6-p3 e precedenti 2.4.5-p5 e precedenti 2.4.4-p6 e precedenti | Tutto |
Nota: per chiarezza, le versioni interessate elencate sono ora elencate per ciascuna riga di rilascio supportata anziché solo per le versioni più recenti.
* Queste versioni sono applicabili solo ai clienti che partecipano al Programma di supporto esteso
Soluzione
Adobe classifica questi aggiornamenti con i seguenti livelli di priorità e consiglia agli utenti di aggiornare la propria installazione alla versione più recente.
Prodotto | Versione aggiornata | piattaforma | Valutazione di priorità | Istruzioni per l’installazione |
---|---|---|---|---|
Adobe Commercio | 2.4.6-p4 per 2.4.6-p3 e precedenti 2.4.5-p6 per 2.4.5-p5 e precedenti 2.4.4-p7 per 2.4.4-p6 e precedenti 2.4.3-ext-6 per 2.4.3 -ext-5 e precedenti* 2.4.2-ext-6 per 2.4.2-ext-5 e precedenti* 2.4.1-ext-6 per 2.4.1-ext-5 e precedenti* 2.4.0-ext-6 per 2.4.0-ext-5 e versioni precedenti* 2.3.7-p4-ext-6 per 2.3.7-p4-ext-5 e versioni precedenti* | Tutto | 3 | Note sulla versione 2.4.x |
Magento Open Source | 2.4.6-p4 per 2.4.6-p3 e precedenti 2.4.5-p6 per 2.4.5-p5 e precedenti 2.4.4-p7 per 2.4.4-p6 e precedenti | Tutto | 3 | |
Nota: * Queste versioni sono applicabili solo ai clienti che partecipano al Programma di supporto esteso |
Dettagli sulla vulnerabilità
Categoria di vulnerabilità | Impatto sulla vulnerabilità | Gravità | Autenticazione necessaria per sfruttare? | L’exploit richiede privilegi di amministratore? | Punteggio base CVSS | Vettore CVSS | Numero/i CVE |
---|---|---|---|---|---|---|---|
Scripting intersito (XSS archiviato) ( CWE-79 ) | Esecuzione di codice arbitrario | Critico | SÌ | SÌ | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2024-20719 |
Neutralizzazione impropria degli elementi speciali utilizzati in un comando del sistema operativo (“OS Command Injection”) ( CWE-78 ) | Esecuzione di codice arbitrario | Critico | SÌ | SÌ | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2024-20720 |
Consumo incontrollato di risorse ( CWE-400 ) | Negazione del servizio dell’applicazione | Importante | SÌ | SÌ | 5.7 | CVSS:3.1/AV:A/AC:L/PR:H/UI:R/S:C/C:N/I:N/A:H | CVE-2024-20716 |
Scripting intersito (XSS archiviato) ( CWE-79 ) | Esecuzione di codice arbitrario | Importante | SÌ | SÌ | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20717 |
Falsificazione di richieste intersito (CSRF) ( CWE-352 ) | Bypass della funzionalità di sicurezza | Moderare | SÌ | NO | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2024-20718 |
Nota:
Autenticazione richiesta per sfruttare: la vulnerabilità è (o non è) sfruttabile senza credenziali.
L’exploit richiede privilegi di amministratore: la vulnerabilità è (o non è) sfruttabile solo da un utente malintenzionato con privilegi di amministratore.
Fonte: https://helpx.adobe.com/security/products/magento/apsb24-03.html