Adobe Commerce B2B 多种漏洞 (APSB24-73)

medium Nessus 插件 ID 242633

语言：

简介

远程主机上安装的 Adobe Commerce B2B 实例受到多种漏洞的影响。

描述

远程主机上安装的 Adobe Commerce B2B 版本属于以下范围之一 1.4.2.0 < 1.4.2-p3 / 1.3.5.0 < 1.3.5-p8 / 1.3.4.0 < 1.3.4-p10 / 0.x < 1.3。 3-p11

因此，它受到公告 APSB24-23 中提及的多个漏洞影响。

- Adobe Commerce 1.4.2-p2、1.3.5-p7、1.3.4-p9、1.3.3-p10 版及更早版本受到不当验证漏洞的影响可导致权限升级。攻击者可利用此漏洞在未经授权的情况下访问应用程序或提升在应用程序中的权限。无需用户交互即可利用此问题。

- Adobe Commerce 1.4.2-p2、1.3.5-p7、1.3.4-p9、1.3.3-p10 版及更早版本受到不当身份验证漏洞的影响可能会造成安全功能绕过。低权限攻击者可利用此漏洞在没有正确凭据的情况下获得未经授权的访问。若要利用此问题，并不需要用户交互。

- Adobe Commerce 1.4.2-p2、1.3.5-p7、1.3.4-p9、1.3.3-p10 及更早版本受到一个跨站脚本 (XSS) 漏洞影响可利用此漏洞执行任意代码。如果管理员攻击者可诱骗用户点击特别构建的链接或提交表单则可能在受害者浏览器的上下文中执行恶意脚本并对机密性和完整性造成高度影响。若要利用此问题，需要用户交互。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。