Adobe Commerce 多种漏洞 (APSB24-61)
critical Nessus 插件 ID 242632
语言:
简介
远程主机上安装的 Adobe Commerce/Magento 开源实例受到多种漏洞的影响。描述
远程主机上安装的 Adobe Commerce/Magento Open Source 版本属于以下范围之一 2.4.7.0 < 2.4.7-p2 (Adobe Commerce) / 2.4.6.0 < 2.4.6-p7 (Adobe Commerce) / 2.4.5.0 < 2.4.5-p9 (Adobe Commerce) / 0.x < 2.4.4-p10 (Adobe Commerce) / 2.4.7.0 < 2.4.7-p2 (Magento Open Source) / 2.4.6.0 < 2.4.6-p7 (Magento Open Source) / 2.4.5.0 < 2.4.5-p9 (Magento 开源) / 0.x < 2.4.4-p10 (Magento 开源)因此,它受到 APSB24-21 公告中提及的多个漏洞影响。
- Adobe Commerce 2.4.7-p1、2.4.6-p6、2.4.5-p8、2.4.4-p9 版及更早版本受到无限制上传危险类型文件漏洞的影响可导致攻击者。攻击者可以通过上传恶意文件来利用此漏洞然后在服务器上执行该文件。利用此问题不需要用户交互但攻击复杂性很高并且范围会更改。 (CVE-2024-39397)
- Adobe Commerce 2.4.7-p1、2.4.6-p6、2.4.5-p8、2.4.4-p9 及更早版本受到不当限制过多身份验证尝试漏洞的影响可导致安全功能绕过。攻击者可以利用此漏洞执行暴力破解攻击,并可能获得未经授权的帐户访问权限。利用此问题不需要用户交互,但攻击复杂性很高。 (CVE-2024-39398)
- Adobe Commerce 2.4.7-p1、2.4.6-p6、2.4.5-p8、2.4.4-p9 和更早版本受到对受限目录的路径名称不当限制即“路径遍历”漏洞的影响可导致任意文件系统读取的问题。低权限的攻击者可利用此漏洞来获取对受限目录外的文件和目录的访问权限。若要利用此问题,并不需要用户交互,且范围已改变。(CVE-2024-39399)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
按照建议升级到 Adobe Commerce/Magento 开源版本另见
插件详情
严重性: Critical
ID: 242632
文件名: adobe_commerce_apsb24-61.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/7/23
最近更新时间: 2025/7/23
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: High
分数: 7.3
CVSS v2
风险因素: High
基本分数: 7.6
矢量: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2024-39397
CVSS v3
风险因素: Critical
基本分数: 9
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
CVSS 分数来源: CVE-2024-39397
漏洞信息
CPE: cpe:/a:adobe:magento, cpe:/a:adobe:commerce
补丁发布日期: 2024/9/26
漏洞发布日期: 2024/9/26
参考资料信息
CVE: CVE-2024-39397, CVE-2024-39398, CVE-2024-39399, CVE-2024-39400, CVE-2024-39401, CVE-2024-39402, CVE-2024-39403, CVE-2024-39404, CVE-2024-39405, CVE-2024-39406, CVE-2024-39407, CVE-2024-39408, CVE-2024-39409, CVE-2024-39410, CVE-2024-39411, CVE-2024-39412, CVE-2024-39413, CVE-2024-39414, CVE-2024-39415, CVE-2024-39416, CVE-2024-39417, CVE-2024-39418, CVE-2024-39419