Adobe Commerce の複数の脆弱性APSB24-61

critical Nessus プラグイン ID 242632

Language:

概要

リモートホストにインストールされているAdobe Commerce/Magento Open Sourceインスタンスは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされているAdobe Commerce/Magento Open Sourceのバージョンは、以下のいずれかに分類されます 2.4.7.0 < 2.4.7-p2Adobe Commerce/ 2.4.6.0 < 2.4.6-p7Adobe Commerce/ 2.4.5.0 < 2.4.5-p9Adobe Commerce/ 0.x < 2.4.4-p10Adobe Commerce/ 2.4.7.0 < 2.4.7-p2Magento オープンソース/ 2.4.6.0 2.4.6-p7Magento オープンソース/ 2.4.5.0 < 2.4.5-p9Magento オープンソース/ 0.x < 2.4.4-p10Magento オープンソース

したがって、APSB24-21 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- Adobe Commerce バージョン 2.4.7-p1、2.4.6-p6、2.4.5-p8、2.4.4-p9 以前は、危険なタイプのファイルの無制限アップロードの脆弱性に影響を受けます。これにより、任意のコードが実行される可能性があります。発見しました。攻撃者がこの脆弱性を悪用し、サーバーで実行できる悪意のあるファイルをアップロードする可能性があります。この問題の悪用にユーザーの関与は必要ありませんが、攻撃の複雑度は高く、範囲が変更されます。CVE-2024-39397

- Adobe Commerce のバージョン 2.4.7-p1、2.4.6-p6、2.4.5-p8、2.4.4-p9 およびそれ以前は、過剰な認証試行の不適切な制限の脆弱性による影響を受け、これによりセキュリティ機能がバイパスされる可能性があります。攻撃者がこの脆弱性を悪用し、ブルートフォース攻撃を実行し、認証されていないアカウントへのアクセス権を取得する可能性があります。この問題の悪用にユーザーインタラクションは必要ありませんが、攻撃の複雑度は高いです。CVE-2024-39398

- Adobe Commerce バージョン 2.4.7-p1、2.4.6-p6、2.4.5-p8、2.4.4-p9 およびそれ以前は、制限されたディレクトリ「パストラバーサル」に対するパス名が不適切に制限される「パストラバーサル」の脆弱性の影響を受けます。任意のファイルシステムの読み取りが引き起こされる可能性があります。権限の低い攻撃者がこの脆弱性を悪用して、制限されたディレクトリの外にあるファイルおよびディレクトリにアクセスする可能性があります。この問題を悪用するににユーザーの操作は必要なく、範囲が変更されます。(CVE-2024-39399)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。