DocumentationCommerceCommerce KB

Mise à jour de sécurité disponible pour Adobe Commerce - APSB24-73

Last update: Tue Oct 29 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Créé pour :

  • Développeur

Le 8 octobre 2024, Adobe a publié une mise à jour de sécurité régulièrement programmée pour Adobe Commerce et Adobe Commerce Webhooks Plugin.
Cette mise à jour corrige les vulnérabilités critical, important et moderate . Une exploitation réussie peut entraîner l’exécution arbitraire du code, la lecture arbitraire du système de fichiers, le contournement des fonctionnalités de sécurité et la transmission des privilèges. Le bulletin d'information est le suivant : Bulletin de sécurité des Adobes (APSB24-73).

NOTE
CVE-2024-45115, répertorié dans le bulletin de sécurité ci-dessus, ne s'applique que lors de l'utilisation du module B2B. Pour vous assurer que la correction de cette vulnérabilité peut être appliquée aussi rapidement que possible, Adobe a également publié un correctif isolé qui résout CVE-2024-45115.

Appliquez les dernières mises à jour de sécurité dès que possible. Si vous ne le faites pas, vous serez vulnérable à ces problèmes de sécurité, et l'Adobe aura des moyens limités pour vous aider à y remédier.

NOTE
Contactez les services d’assistance si vous rencontrez des problèmes lors de l’application du correctif de sécurité/du correctif isolé.

Produits et versions concernés

Adobe Commerce on Cloud et Adobe Commerce sur site :

  • 2.4.7-p2 et versions antérieures
  • 2.4.6-p7 et versions antérieures
  • 2.4.5-p9 et versions antérieures
  • 2.4.4-p10 et versions antérieures

B2B :

  • 1.4.2-p2 et versions antérieures
  • 1.3.5-p7 et versions antérieures
  • 1.3.4-p9 et versions antérieures
  • 1.3.3-p10 et versions antérieures

Solution pour Adobe Commerce on Cloud et le logiciel sur site Adobe Commerce

Pour résoudre la vulnérabilité des produits et versions concernés, vous devez appliquer le correctif isolé CVE-2024-45115.

Détails du correctif isolé

Utilisez le patch isolé suivant :

vuln-26510-composer-patch.zip

Comment appliquer le correctif isolé

Décompressez le fichier et reportez-vous à la section Comment appliquer un correctif de compositeur fourni par Adobe dans notre base de connaissances de support pour obtenir des instructions.

Pour les marchands Adobe Commerce on Cloud uniquement : comment déterminer si les correctifs isolés ont été appliqués

Étant donné qu'il n'est pas possible de vérifier facilement si le problème a été corrigé, vous pouvez vérifier si le correctif isolé CVE-2024-45115 a bien été appliqué.

Pour ce faire, procédez comme suit en utilisant le fichier VULN-27015-2.4.7_COMPOSER.patch comme exemple :

  1. Installation de l’outil de correctifs de qualité.

  2. Exécutez la commande :

    cve-2024-34102-tell-if-patch-applied-code

  3. Vous devriez voir une sortie similaire à celle-ci, où VULN-27015 renvoie l’état Appliqué :

    code language-bash 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom

Mises à jour de sécurité

Mises à jour de sécurité disponibles pour Adobe Commerce :

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a