Krytyczna podatność w Adobe Commerce (CWE-287) pozwala nieuwierzytelnionemu atakującemu na ominięcie mechanizmów uwierzytelnienia i uzyskanie podwyższonych uprawnień w aplikacji. Ze względu na brak wymogu interakcji użytkownika i sieciowy wektor ataku, podatność stanowi poważne zagrożenie dla każdej publicznie dostępnej instalacji.
▸ Pokaż oryginał (EN)
Adobe Commerce versions 2.4.7-p2, 2.4.6-p7, 2.4.5-p9, 2.4.4-p10 and earlier are affected by an Improper Authentication vulnerability that could result in privilege escalation. An attacker could exploit this vulnerability to gain unauthorized access or elevated privileges within the application. Exploitation of this issue does not require user interaction.
Podatność wynika z nieprawidłowej implementacji mechanizmu uwierzytelnienia (Improper Authentication) w Adobe Commerce. Atakujący zdalnie, bez posiadania jakichkolwiek poświadczeń ani konieczności interakcji po stronie użytkownika, może wysłać odpowiednio spreparowane żądanie do aplikacji. W efekcie omijany jest mechanizm kontroli tożsamości, co prowadzi do uzyskania nieuprawnionego dostępu lub podwyższenia poziomu uprawnień wewnątrz aplikacji.
Atakujący może uzyskać nieautoryzowany dostęp do aplikacji lub podnieść swoje uprawnienia (privilege escalation), co w kontekście platformy e-commerce może oznaczać przejęcie kontroli nad administracją sklepu, danymi klientów oraz konfiguracją systemu.
Należy niezwłocznie zaktualizować Adobe Commerce do wersji wyższych niż 2.4.7-p2, 2.4.6-p7, 2.4.5-p9 oraz 2.4.4-p10, stosując patche opisane w biuletynie bezpieczeństwa producenta APSB24-73 dostępnym pod adresem: https://helpx.adobe.com/security/products/magento/apsb24-73.html
Adobe Commerce w wersjach 2.4.7-p2, 2.4.6-p7, 2.4.5-p9, 2.4.4-p10 oraz wcześniejszych.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAdobe Commerce
APPAdobe2.3.72.4.02.4.12.4.22.4.32.4.42.4.52.4.62.4.7Adobe Commerce B2b
APPAdobe1.3.31.3.41.3.51.4.2Adobe Magento
APPAdobe2.4.32.4.42.4.52.4.62.4.7
Powiązane podatności
Adobe Commerce/Magento — przejęcie sesji przez Improper Input Validation
Krytyczna podatność XXE w Adobe Commerce umożliwiająca RCE
Adobe Commerce versions 2.4.3-p1 (and earlier) and 2.3.7-p2 (and earlier) are affected by an improper input va...
Adobe Commerce — Incorrect Authorization umożliwiające privilege escalation
Adobe Commerce — RCE poprzez nieograniczony upload niebezpiecznych plików