Adobe Commerce/Magento Open Source 多种漏洞 (APSB24-73)
high Nessus 插件 ID 242631
语言:
简介
远程主机上安装的 Adobe Commerce/Magento 开源实例受到多种漏洞的影响。描述
远程主机上安装的 Adobe Commerce/Magento Open Source 版本属于以下范围之一 2.4.7.0 < 2.4.7-p3 (Adobe Commerce) / 2.4.6.0 < 2.4.6-p8 (Adobe Commerce) / 2.4.5.0 < 2.4.5-p10 (Adobe Commerce) / 0.x < 2.4.4-p11 (Adobe Commerce) / 2.4.7.0 < 2.4.7-p3 (Magento Open Source) / 2.4.6.0 < 2.4.6-p8 (Magento Open Source) / 2.4.5.0 < 2.4.5-p10 (Magento 开源) / 0.x < 2.4.4-p11 (Magento 开源)因此,它受到 APSB24-73 公告中提及的多个漏洞的影响。
- Adobe Commerce 2.4.7-p2、2.4.6-p7、2.4.5-p9、2.4.4-p10 版及更旧版本受到一个跨站脚本 (XSS) 漏洞影响可利用此漏洞执行任意代码。如果管理员攻击者可诱骗用户点击特别构建的链接或提交表单则可能在受害者浏览器的上下文中执行恶意脚本并对机密性和完整性造成高度影响。若要利用此问题,需要用户交互。(CVE-2024-45116)
- Adobe Commerce 2.4.7-p2、2.4.6-p7、2.4.5-p9、2.4.4-p10 版及更早版本受到不当验证漏洞的影响可能会造成安全功能绕过。低特权的攻击者可利用此漏洞在没有正确凭据的情况下获得未经授权的访问。若要利用此问题,并不需要用户交互。(CVE-2024-45148)
- Adobe Commerce 2.4.7-P2、2.4.6-P7、2.4.5-P9、 2.4.4-P10 和更早版本受到跨站脚本 (XSS) 漏洞的影响可利用该漏洞执行任意代码。如果管理员攻击者可诱骗用户点击特别构建的链接或提交表单则可能在受害者浏览器的上下文中执行恶意脚本并对机密性和完整性造成高度影响。若要利用此问题,需要用户交互。(CVE-2024-45116)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
按照建议升级到 Adobe Commerce/Magento 开源版本另见
插件详情
严重性: High
ID: 242631
文件名: adobe_commerce_apsb24-73.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/7/23
最近更新时间: 2025/7/23
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.3
CVSS v2
风险因素: High
基本分数: 8.5
矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:N
CVSS 分数来源: CVE-2024-45116
CVSS v3
风险因素: High
基本分数: 8.1
矢量: CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N
漏洞信息
CPE: cpe:/a:adobe:magento, cpe:/a:adobe:commerce
补丁发布日期: 2024/4/9
漏洞发布日期: 2024/4/9
参考资料信息
CVE: CVE-2024-45116, CVE-2024-45117, CVE-2024-45119, CVE-2024-45120, CVE-2024-45121, CVE-2024-45122, CVE-2024-45123, CVE-2024-45124, CVE-2024-45125, CVE-2024-45127, CVE-2024-45128, CVE-2024-45129, CVE-2024-45130, CVE-2024-45131, CVE-2024-45132, CVE-2024-45133, CVE-2024-45134, CVE-2024-45135, CVE-2024-45149