Adobe Commerce oraz Magento są podatne na atak typu XXE (XML External Entity), który może prowadzić do wykonania dowolnego kodu na serwerze. Podatność jest krytyczna — nie wymaga uwierzytelnienia ani interakcji użytkownika, a jest aktywnie wykorzystywana przez atakujących.
▸ Pokaż oryginał (EN)
Adobe Commerce versions 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 and earlier are affected by an Improper Restriction of XML External Entity Reference ('XXE') vulnerability that could result in arbitrary code execution. An attacker could exploit this vulnerability by sending a crafted XML document that references external entities. Exploitation of this issue does not require user interaction.
Atakujący wysyła spreparowany dokument XML zawierający odwołania do zewnętrznych encji XML (XML External Entity). Aplikacja przetwarza ten dokument bez odpowiednich ograniczeń, co pozwala na odczyt plików systemowych, wykonanie żądań do wewnętrznych zasobów lub eskalację do pełnego wykonania kodu. Podatność jest dostępna zdalnie, bez konieczności posiadania konta ani jakiejkolwiek interakcji po stronie ofiary.
Atakujący może uzyskać pełną kontrolę nad serwerem poprzez wykonanie dowolnego kodu (RCE), a także naruszyć poufność, integralność i dostępność systemu.
Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z biuletynem bezpieczeństwa Adobe APSB24-40 (https://helpx.adobe.com/security/products/magento/apsb24-40.html).
Adobe Commerce w wersjach 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 oraz wcześniejszych.
Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities, co potwierdza jej aktywne wykorzystywanie w środowiskach produkcyjnych. Vulnerability jest również opisywana w publikacjach zewnętrznych pod nazwą 'CosmicSting'.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAdobe Commerce
APPAdobe2.4.22.4.32.4.42.4.52.4.62.4.7Adobe Commerce Webhooks
APPAdobe1.2.0 – 1.5.0 (bez)Adobe Magento
APPAdobe2.4.42.4.52.4.62.4.7
CISA KEV — szczegółyi
- Dostawcai
- Adobe ↗
- Produkti
- Commerce and Magento Open Source
- Data dodania do KEVi
- 17 lipca 2024
- Termin remediation (USA)i
- 7 sierpnia 2024(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami dostawcy lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
Adobe Commerce i Magento Open Source zawierają lukę w nieprawidłowym ograniczeniu odwołania do zewnętrznej encji XML (XXE), która pozwala na zdalne wykonanie kodu.
▸ Pokaż oryginał (EN)
Adobe Commerce and Magento Open Source contain an improper restriction of XML external entity reference (XXE) vulnerability that allows for remote code execution.
Powiązane podatności
Adobe Commerce/Magento — przejęcie sesji przez Improper Input Validation
Adobe Commerce versions 2.4.3-p1 (and earlier) and 2.3.7-p2 (and earlier) are affected by an improper input va...
Adobe Commerce — Incorrect Authorization umożliwiające privilege escalation
Adobe Commerce — nieprawidłowe uwierzytelnienie umożliwiające privilege escalation
Adobe Commerce — RCE poprzez nieograniczony upload niebezpiecznych plików