Adobe Commerce/Magento Open Source の複数の脆弱性APSB24-73

high Nessus プラグイン ID 242631

Language:

概要

リモートホストにインストールされているAdobe Commerce/Magento Open Sourceインスタンスは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされているAdobe Commerce/Magento Open Sourceのバージョンは、次のいずれかの範囲にあります 2.4.7.0 < 2.4.7-p3Adobe Commerce/ 2.4.6.0 < 2.4.6-p8Adobe Commerce/ 2.4.5.0 < 2.4.5-p10Adobe Commerce/ 0.x < 2.4.4-p11Adobe Commerce/ 2.4.7.0 < 2.4.7-p3Magento オープンソース/ 2.4.6.0 2.4.6-p8Magento オープンソース/ 2.4.5.0 < 2.4.5-p10Magento Open Source/ 0.x < 2.4.4-p11Magento Open Source

したがって、APSB24-73 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- Adobe Commerce バージョン 2.4.7-p2、2.4.6-p7、2.4.5-p9、2.4.4-p10 およびそれ以前は、クロスサイトスクリプティングXSSの脆弱性の影響を受け、これが悪用されて、任意のコードが実行される可能性があります。管理者攻撃者が、ユーザーを騙して、特別に細工されたリンクをクリックさせるか、フォームを送信させる可能性があります。悪意のあるスクリプトが被害者のブラウザのコンテキスト内で実行され、機密性および整合性に大きな影響を与える可能性があります。この問題を悪用するにはユーザーの操作が必要です。(CVE-2024-45116)

- Adobe Commerce バージョン 2.4.7-p2、2.4.6-p7、2.4.5-p9、2.4.4-p10 以前は、不適切な認証の脆弱性の影響を受け、これによりセキュリティ機能がバイパスされる可能性があります。権限の低い攻撃者がこの脆弱性を悪用して、適切な認証情報なしに不正アクセスを取得する可能性があります。この問題を悪用するにはユーザーの操作が必要です。(CVE-2024-45148)

- Adobe Commerce バージョン 2.4.7-P2、2.4.6-P7、2.4.5-P9、 2.4.4-P10 およびそれ以前は、クロスサイトスクリプティングXSSの脆弱性に影響を受け、これが悪用されて、任意のコードが実行される可能性があります。管理者攻撃者が、ユーザーを騙して、特別に細工されたリンクをクリックさせるか、フォームを送信させる可能性があります。悪意のあるスクリプトが被害者のブラウザのコンテキスト内で実行され、機密性および整合性に大きな影響を与える可能性があります。この問題を悪用するにはユーザーの操作が必要です。(CVE-2024-45116)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。