Adobe Commerce/Magento 開放原始碼多個弱點 (APSB24-73)
high Nessus Plugin ID 242631
語言:
概要
遠端主機上安裝的 Adobe Commerce/Magento Open Source 執行個體受到多個弱點影響。說明
遠端主機上安裝的 Adobe Commerce/Magento Open Source 版本屬於下列任一範圍 2.4.7.0 < 2.4.7-p3 (Adobe Commerce) / 2.4.6.0 < 2.4.6-p8 (Adobe Commerce) / 2.4.5.0 < 2.4.5-p10 (Adobe Commerce) / 0.x < 2.4.4-p11 (Adobe Commerce) / 2.4.7.0 < 2.4.7-p3 (Magento Open Source) / 2.4.6.0 < 2.4.6-p8 (Magento Open Source) / 2.4.5.0 < 2.4.5-p10 (Magento Open Source) / 0.x < 2.4.4-p11 (Magento Open Source)因此,它受到 APSB24-73 公告中所提及的多個弱點影響。
- Adobe Commerce 2.4.7-p2、2.4.6-p7、2.4.5-p9、2.4.4-p10 和更舊版本受到一個跨網站指令碼 (XSS) 弱點影響可能遭惡意利用來執行任意程式碼。如果管理員攻擊者可誘騙使用者按一下特製連結或提交表單惡意指令碼可能會在受害者的瀏覽器內容中執行並對機密性和完整性造成重大影響。需有進行使用者互動,才能刺探利用此問題。(CVE-2024-45116)
- Adobe Commerce 2.4.7-p2、2.4.6-p7、2.4.5-p9、2.4.4-p10 和更舊版本受到一個不當驗證弱點影響可導致繞過安全性功能。低權限攻擊者可利用此弱點在沒有適當認證的情況下取得未經授權的存取權。無需進行使用者互動,也可惡意利用此問題。(CVE-2024-45148)
- Adobe Commerce 2.4.7-P2、2.4.6-P7、2.4.5-P9、 2.4.4-P10 和更舊版本受到一個跨網站指令碼 (XSS) 弱點影響可能遭惡意利用來執行任意程式碼。如果管理員攻擊者可誘騙使用者按一下特製連結或提交表單惡意指令碼可能會在受害者的瀏覽器內容中執行並對機密性和完整性造成重大影響。需有進行使用者互動,才能刺探利用此問題。(CVE-2024-45116)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
依建議升級至 Adobe Commerce/Magento Open Source 版本另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 242631
檔案名稱: adobe_commerce_apsb24-73.nasl
版本: 1.1
類型: local
代理程式: unix
系列: Misc.
已發布: 2025/7/23
已更新: 2025/7/23
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.3
CVSS v2
風險因素: High
基本分數: 8.5
媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:N
CVSS 評分資料來源: CVE-2024-45116
CVSS v3
風險因素: High
基本分數: 8.1
媒介: CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N
弱點資訊
CPE: cpe:/a:adobe:magento, cpe:/a:adobe:commerce
修補程式發佈日期: 2024/4/9
弱點發布日期: 2024/4/9
參考資訊
CVE: CVE-2024-45116, CVE-2024-45117, CVE-2024-45119, CVE-2024-45120, CVE-2024-45121, CVE-2024-45122, CVE-2024-45123, CVE-2024-45124, CVE-2024-45125, CVE-2024-45127, CVE-2024-45128, CVE-2024-45129, CVE-2024-45130, CVE-2024-45131, CVE-2024-45132, CVE-2024-45133, CVE-2024-45134, CVE-2024-45135, CVE-2024-45149