CRITICAL🇬🇧 English

CVE-2024-45115

Adobe Commerce — nieprawidłowe uwierzytelnienie umożliwiające privilege escalation

CVSS 9.8v3.1pub. 2024-10-10

Krytyczna podatność w Adobe Commerce (CWE-287) pozwala nieuwierzytelnionemu atakującemu na ominięcie mechanizmów uwierzytelnienia i uzyskanie podwyższonych uprawnień w aplikacji. Ze względu na brak wymogu interakcji użytkownika i sieciowy wektor ataku, podatność stanowi poważne zagrożenie dla każdej publicznie dostępnej instalacji.

Pokaż oryginał (EN)

Adobe Commerce versions 2.4.7-p2, 2.4.6-p7, 2.4.5-p9, 2.4.4-p10 and earlier are affected by an Improper Authentication vulnerability that could result in privilege escalation. An attacker could exploit this vulnerability to gain unauthorized access or elevated privileges within the application. Exploitation of this issue does not require user interaction.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej implementacji mechanizmu uwierzytelnienia (Improper Authentication) w Adobe Commerce. Atakujący zdalnie, bez posiadania jakichkolwiek poświadczeń ani konieczności interakcji po stronie użytkownika, może wysłać odpowiednio spreparowane żądanie do aplikacji. W efekcie omijany jest mechanizm kontroli tożsamości, co prowadzi do uzyskania nieuprawnionego dostępu lub podwyższenia poziomu uprawnień wewnątrz aplikacji.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do aplikacji lub podnieść swoje uprawnienia (privilege escalation), co w kontekście platformy e-commerce może oznaczać przejęcie kontroli nad administracją sklepu, danymi klientów oraz konfiguracją systemu.

Mitygacja

Należy niezwłocznie zaktualizować Adobe Commerce do wersji wyższych niż 2.4.7-p2, 2.4.6-p7, 2.4.5-p9 oraz 2.4.4-p10, stosując patche opisane w biuletynie bezpieczeństwa producenta APSB24-73 dostępnym pod adresem: https://helpx.adobe.com/security/products/magento/apsb24-73.html

Kogo dotyczy

Adobe Commerce w wersjach 2.4.7-p2, 2.4.6-p7, 2.4.5-p9, 2.4.4-p10 oraz wcześniejszych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Adobe Commerce

    APP
    Adobe
    2.3.72.4.02.4.12.4.22.4.32.4.42.4.52.4.62.4.7
  • Adobe Commerce B2b

    APP
    Adobe
    1.3.31.3.41.3.51.4.2
  • Adobe Magento

    APP
    Adobe
    2.4.32.4.42.4.52.4.62.4.7
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPEAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-54236CRITICAL9.1⚠ KEVPL ✓ten sam produkt

Adobe Commerce/Magento — przejęcie sesji przez Improper Input Validation

CVE-2024-34102CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Krytyczna podatność XXE w Adobe Commerce umożliwiająca RCE

CVE-2022-24086CRITICAL9.8⚠ KEVten sam produkt

Adobe Commerce versions 2.4.3-p1 (and earlier) and 2.3.7-p2 (and earlier) are affected by an improper input va...

CVE-2025-24434CRITICAL9.1PL ✓ten sam produkt

Adobe Commerce — Incorrect Authorization umożliwiające privilege escalation

CVE-2024-39397CRITICAL9.0PL ✓ten sam produkt

Adobe Commerce — RCE poprzez nieograniczony upload niebezpiecznych plików

CVE-2024-45115 — Adobe Commerce — nieprawidłowe uwierzytelnienie umożliwiające privilege escalation — CRITICAL 9.8 | CVEbaza.pl