CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2024-34102

Krytyczna podatność XXE w Adobe Commerce umożliwiająca RCE

CVSS 9.8v3.1pub. 2024-06-13upd. 2025-10-23

Adobe Commerce oraz Magento są podatne na atak typu XXE (XML External Entity), który może prowadzić do wykonania dowolnego kodu na serwerze. Podatność jest krytyczna — nie wymaga uwierzytelnienia ani interakcji użytkownika, a jest aktywnie wykorzystywana przez atakujących.

Pokaż oryginał (EN)

Adobe Commerce versions 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 and earlier are affected by an Improper Restriction of XML External Entity Reference ('XXE') vulnerability that could result in arbitrary code execution. An attacker could exploit this vulnerability by sending a crafted XML document that references external entities. Exploitation of this issue does not require user interaction.

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowany dokument XML zawierający odwołania do zewnętrznych encji XML (XML External Entity). Aplikacja przetwarza ten dokument bez odpowiednich ograniczeń, co pozwala na odczyt plików systemowych, wykonanie żądań do wewnętrznych zasobów lub eskalację do pełnego wykonania kodu. Podatność jest dostępna zdalnie, bez konieczności posiadania konta ani jakiejkolwiek interakcji po stronie ofiary.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem poprzez wykonanie dowolnego kodu (RCE), a także naruszyć poufność, integralność i dostępność systemu.

Mitygacja

Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z biuletynem bezpieczeństwa Adobe APSB24-40 (https://helpx.adobe.com/security/products/magento/apsb24-40.html).

Kogo dotyczy

Adobe Commerce w wersjach 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 oraz wcześniejszych.

Uwagi

Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities, co potwierdza jej aktywne wykorzystywanie w środowiskach produkcyjnych. Vulnerability jest również opisywana w publikacjach zewnętrznych pod nazwą 'CosmicSting'.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Adobe Commerce

    APP
    Adobe
    2.4.22.4.32.4.42.4.52.4.62.4.7
  • Adobe Commerce Webhooks

    APP
    Adobe
    1.2.0 – 1.5.0 (bez)
  • Adobe Magento

    APP
    Adobe
    2.4.42.4.52.4.62.4.7

CISA KEV — szczegółyi

Dostawcai
Adobe
Produkti
Commerce and Magento Open Source
Data dodania do KEVi
17 lipca 2024
Termin remediation (USA)i
7 sierpnia 2024(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami dostawcy lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Adobe Commerce i Magento Open Source zawierają lukę w nieprawidłowym ograniczeniu odwołania do zewnętrznej encji XML (XXE), która pozwala na zdalne wykonanie kodu.

tłumaczenie AI
Pokaż oryginał (EN)

Adobe Commerce and Magento Open Source contain an improper restriction of XML external entity reference (XXE) vulnerability that allows for remote code execution.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 7 sierpnia 2024
Tagi
RCEXXE
CWE
Referencje

Powiązane podatności

CVE-2025-54236CRITICAL9.1⚠ KEVPL ✓ten sam produkt

Adobe Commerce/Magento — przejęcie sesji przez Improper Input Validation

CVE-2022-24086CRITICAL9.8⚠ KEVten sam produkt

Adobe Commerce versions 2.4.3-p1 (and earlier) and 2.3.7-p2 (and earlier) are affected by an improper input va...

CVE-2025-24434CRITICAL9.1PL ✓ten sam produkt

Adobe Commerce — Incorrect Authorization umożliwiające privilege escalation

CVE-2024-45115CRITICAL9.8PL ✓ten sam produkt

Adobe Commerce — nieprawidłowe uwierzytelnienie umożliwiające privilege escalation

CVE-2024-39397CRITICAL9.0PL ✓ten sam produkt

Adobe Commerce — RCE poprzez nieograniczony upload niebezpiecznych plików