ADVERTENCIA: MÚLTIPLES VULNERABILIDADES CRÍTICAS Y ALTAS EN ADOBE COMMERCE, ADOBE MAGENTO Y EL COMPLEMENTO WEBHOOKS DE ADOBE COMMERCE SE PUEDEN EXPLOTAR PARA EJECUTAR CÓDIGO
Software afectado:
Adobe Commerce, código abierto de Magento, complemento Webhooks de Adobe Commerce
CVE/CVSS:
CVE-2024-34111: 8,5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N)
CVE-2024-34102: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
CVE-2024-34108: 9.1 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)
CVE-2024-34109: 8.0 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)
CVE-2024-34110: 8.0 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)
CVE-2024-34105: 4.8 (CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N)
Fuentes
https://helpx.adobe.com/security/products/magento/apsb24-40.html
Riesgos
El 11 de junio de 2024, Adobe publicó un aviso de seguridad sobre 10 vulnerabilidades que afectan a Adobe Commerce, Magento Open Source y Adobe Commerce Webhooks Plugin. Entre estas 10 vulnerabilidades, 6 pueden provocar la ejecución de código arbitrario.
Las vulnerabilidades de ejecución de código son CVE-2024-34111, CVE-2024-34102, CVE-2024-34108, CVE-2024-34109, CVE-2024-34110 y CVE-2024-34105.
Adobe Commerce, Magento Open Source y el complemento Adobe Commerce Webhooks pertenecen a un ecosistema que brinda servicios a plataformas de comercio electrónico. La tecnología se utiliza ampliamente en todo el mundo. La tecnología de comercio electrónico ha sido atacada en el pasado por actores de amenazas con motivación financiera para propagar malware, comprometer la infraestructura y robar información como tarjetas de crédito e información personal. Sin embargo, según Adobe, históricamente esta tecnología exacta de Adobe no ha sido el objetivo.
Actualmente no hay indicios de que estas vulnerabilidades hayan sido objeto de explotación activa (fecha límite: 13 de junio de 2024).
La explotación de estas vulnerabilidades tiene principalmente un alto impacto en la confidencialidad, la integridad y la disponibilidad. El impacto exacto sobre la tríada de la CIA depende de cada vulnerabilidad.
Descripción
La siguiente vulnerabilidad no requiere autenticación para ser explotada:
CVE-2024-34102 es una restricción inadecuada de la vulnerabilidad de referencia de entidad externa XML (XXE). Está marcada como crítica porque un atacante remoto no necesita estar autenticado ni tener privilegios de administrador para explotar esta vulnerabilidad. Una explotación exitosa podría conducir a la ejecución de código arbitrario.
Las siguientes vulnerabilidades requieren autenticación con privilegios de administrador para poder ser explotadas:
- CVE-2024-34111 es una vulnerabilidad de falsificación de solicitudes del lado del servidor. Para ser explotado, un atacante remoto exitoso debe tener credenciales válidas con privilegios de administrador. Una explotación exitosa podría conducir a la ejecución de código arbitrario.
- CVE-2024-34108 y CVE-2024-34109 son vulnerabilidades de validación de entrada incorrecta en el complemento Adobe Commerce Webhooks. Para ser explotado, un atacante remoto exitoso debe tener credenciales válidas con privilegios de administrador. Una explotación exitosa podría conducir a la ejecución de código arbitrario.
- CVE-2024-34110 es una carga sin restricciones de un archivo con una vulnerabilidad de tipo peligroso en el complemento Adobe Commerce Webhooks. Para ser explotado, un atacante remoto exitoso debe tener credenciales válidas con privilegios de administrador. Una explotación exitosa podría conducir a la ejecución de código arbitrario.
- CVE-2024-34105 es una vulnerabilidad de secuencias de comandos entre sitios (XSS almacenado). Para ser explotado, un atacante remoto exitoso debe tener credenciales válidas con privilegios de administrador. Una explotación exitosa podría conducir a la ejecución de código arbitrario.
Acciones recomendadas
Parche
El Centro de Ciberseguridad de Bélgica recomienda encarecidamente instalar actualizaciones para dispositivos vulnerables, después de realizar pruebas exhaustivas.
Adobe informó que estas vulnerabilidades se solucionan con actualizaciones de software:
- Para Adobe Commerce: actualice a las versiones 2.4.7-p1 para 2.4.7 y anteriores, 2.4.6-p6 para 2.4.6-p5 y anteriores, 2.4.5-p8 para 2.4.5-p7 y anteriores, 2.4. 4-p9 para 2.4.4-p8 y anteriores, 2.4.3-ext-8 para 2.4.3-ext-7 y anteriores*, 2.4.2-ext-8 para 2.4.2-ext-7 y anteriores*, 2.4.1-ext-8 para 2.4.1-ext-7 y anteriores*, 2.4.0-ext-8 para 2.4.0-ext-7 y anteriores*, 2.3.7-p4-ext-8 para 2.3. 7-p4-ext-7 y anteriores*.
Tenga en cuenta que las versiones marcadas con el asterisco - solo se aplican a los clientes de Adobe que participan en el Programa de soporte extendido.
- Para Magento Open Source: actualice a las versiones 2.4.7-p1 para 2.4.7 y anteriores, 2.4.6-p6 para 2.4.6-p5 y anteriores, 2.4.5-p8 para 2.4.5-p7 y anteriores, 2.4 .4-p9 para 2.4.4-p8 y anteriores
Para el complemento Adobe Commerce Webhooks: actualice a la versión 1.5.0
Monitorear/Detectar
La CCB recomienda que las organizaciones mejoren sus capacidades de monitoreo y detección para identificar cualquier actividad sospechosa relacionada, asegurando una respuesta rápida en caso de una intrusión.
Si bien aplicar parches a los dispositivos o al software a la versión más reciente puede brindar seguridad contra futuras explotaciones, no soluciona el compromiso histórico.
https://helpx.adobe.com/security/products/magento/apsb24-40.html
Source link