Adobe Commerce 多种漏洞 (APSB24-61)
high Nessus 插件 ID 242632
语言:
简介
远程主机上安装的 Adobe Commerce/Magento Open Source 实例受到多个漏洞影响。描述
远程主机上安装的 Adobe Commerce/Magento Open Source 版本属于以下范围之一 2.4.7.0 < 2.4.7-p2 (Adobe Commerce) / 2.4.6.0 < 2.4.6-p7 (Adobe Commerce) / 2.4.5.0 < 2.4.5-p9 (Adobe Commerce) / 0.x < 2.4.4-p10 (Adobe Commerce) / 2.4.7.0 < 2.4.7-p2 (Magento Open Source) / 2.4.6.0 < 2.4.6-p7 (Magento Open Source) / 2.4.5.0 < 2.4.5-p9 (Magento 开源) / 0.x < 2.4.4-p10 (Magento 开源)因此,它受到 APSB24-21 公告中提及的多个漏洞影响。
- Adobe Commerce 2.4.7-p1、2.4.6-p6、2.4.5-p8、2.4.4-p9 及更早版本受到不当限制过多身份验证尝试漏洞的影响可导致安全功能绕过。攻击者可以利用此漏洞执行暴力破解攻击,并可能获得未经授权的帐户访问权限。利用此问题无需用户交互,并且攻击复杂度很高。(CVE-2024-39398)
- Adobe Commerce 2.4.7-p1、2.4.6-p6、2.4.5-p8、2.4.4-p9 和更早版本受到对受限目录的路径名称不当限制即“路径遍历”漏洞的影响可导致任意文件系统读取的问题。低权限的攻击者可利用此漏洞来获取对受限目录外的文件和目录的访问权限。若要利用此问题,并不需要用户交互,且范围已改变。(CVE-2024-39399)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
根据建议升级到 Adobe Commerce/Magento Open Source 版本另见
插件详情
严重性: High
ID: 242632
文件名: adobe_commerce_apsb24-61.nasl
版本: 1.2
类型: local
代理: unix
系列: Misc.
发布时间: 2025/7/23
最近更新时间: 2025/8/26
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: High
分数: 7.3
CVSS v2
风险因素: High
基本分数: 7.1
矢量: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:N
CVSS 分数来源: CVE-2024-39398
CVSS v3
风险因素: High
基本分数: 7.4
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
CVSS 分数来源: CVE-2024-39398
漏洞信息
CPE: cpe:/a:adobe:commerce, cpe:/a:adobe:magento
补丁发布日期: 2024/9/26
漏洞发布日期: 2024/8/13
参考资料信息
CVE: CVE-2024-39398, CVE-2024-39399, CVE-2024-39400, CVE-2024-39401, CVE-2024-39402, CVE-2024-39403, CVE-2024-39404, CVE-2024-39405, CVE-2024-39406, CVE-2024-39407, CVE-2024-39408, CVE-2024-39409, CVE-2024-39410, CVE-2024-39411, CVE-2024-39412, CVE-2024-39413, CVE-2024-39414, CVE-2024-39415, CVE-2024-39416, CVE-2024-39417, CVE-2024-39418, CVE-2024-39419