Aggiornamento di Sicurezza per Magento e Adobe Commerce | APSB24-03

Adobe ha rilasciato un aggiornamento di sicurezza per Adobe Commerce e Magento Open Source. Questo aggiornamento risolve le vulnerabilità critiche , importanti e moderate . Uno sfruttamento riuscito potrebbe portare all’esecuzione di codice arbitrario, all’esclusione delle funzionalità di sicurezza e al rifiuto di servizio dell’applicazione.

Versioni interessate

ProdottoVersionepiattaforma
 Adobe Commercio2.4.6-p3 e precedenti
2.4.5-p5 e precedenti
2.4.4-p6 e precedenti
2.4.3-ext-5 e precedenti*
2.4.2-ext-5 e precedenti*
2.4.1-ext-5 e precedenti *
2.4.0-ext-5 e versioni precedenti*
2.3.7-p4-ext-5 e versioni precedenti*
Tutto
Magento Open Source2.4.6-p3 e precedenti
2.4.5-p5 e precedenti
2.4.4-p6 e precedenti
Tutto

Nota: per chiarezza, le versioni interessate elencate sono ora elencate per ciascuna  riga di rilascio supportata  anziché solo per le versioni più recenti.

* Queste versioni sono applicabili solo ai clienti che partecipano al Programma di supporto esteso

Soluzione

Adobe classifica questi aggiornamenti con i seguenti livelli di priorità e consiglia agli utenti di aggiornare la propria installazione alla versione più recente.

ProdottoVersione aggiornatapiattaformaValutazione di prioritàIstruzioni per l’installazione
Adobe Commercio2.4.6-p4 per 2.4.6-p3 e precedenti
2.4.5-p6 per 2.4.5-p5 e precedenti
2.4.4-p7 per 2.4.4-p6 e precedenti
2.4.3-ext-6 per 2.4.3 -ext-5 e precedenti*
2.4.2-ext-6 per 2.4.2-ext-5 e precedenti*
2.4.1-ext-6 per 2.4.1-ext-5 e precedenti*
2.4.0-ext-6 per 2.4.0-ext-5 e versioni precedenti*
2.3.7-p4-ext-6 per 2.3.7-p4-ext-5 e versioni precedenti*
Tutto3Note sulla versione 2.4.x
Magento Open Source 2.4.6-p4 per 2.4.6-p3 e precedenti
2.4.5-p6 per 2.4.5-p5 e precedenti
2.4.4-p7 per 2.4.4-p6 e precedenti
Tutto3
Nota: * Queste versioni sono applicabili solo ai clienti che partecipano al Programma di supporto esteso

Dettagli sulla vulnerabilità

Categoria di vulnerabilitàImpatto sulla vulnerabilitàGravitàAutenticazione necessaria per sfruttare?L’exploit richiede privilegi di amministratore?Punteggio base CVSSVettore CVSSNumero/i CVE
Scripting intersito (XSS archiviato) ( CWE-79 )Esecuzione di codice arbitrarioCritico9.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HCVE-2024-20719
Neutralizzazione impropria degli elementi speciali utilizzati in un comando del sistema operativo (“OS Command Injection”) ( CWE-78 )Esecuzione di codice arbitrarioCritico9.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HCVE-2024-20720
Consumo incontrollato di risorse ( CWE-400 )Negazione del servizio dell’applicazioneImportante5.7CVSS:3.1/AV:A/AC:L/PR:H/UI:R/S:C/C:N/I:N/A:HCVE-2024-20716
Scripting intersito (XSS archiviato) ( CWE-79 )Esecuzione di codice arbitrarioImportante5.4CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:NCVE-2024-20717
Falsificazione di richieste intersito (CSRF) ( CWE-352 )Bypass della funzionalità di sicurezzaModerareNO4.3CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:NCVE-2024-20718

Nota: 

Autenticazione richiesta per sfruttare: la vulnerabilità è (o non è) sfruttabile senza credenziali.


L’exploit richiede privilegi di amministratore: la vulnerabilità è (o non è) sfruttabile solo da un utente malintenzionato con privilegi di amministratore.

Fonte: https://helpx.adobe.com/security/products/magento/apsb24-03.html

Ti è piaciuto questo articolo? Votalo!

Torna in alto