DocumentazioneCommerceKnowledge base di Commerce

Aggiornamento di sicurezza disponibile per Adobe Commerce - APSB24-73

Last update: Tue Oct 29 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Creato per:

  • Sviluppatore

L’8 ottobre 2024, Adobe ha rilasciato un aggiornamento della sicurezza pianificato regolarmente per Adobe Commerce e Adobe Commerce Webhooks Plugin.
Questo aggiornamento risolve critical, important e moderate vulnerabilità. Un corretto sfruttamento potrebbe causare l’esecuzione arbitraria del codice, la lettura arbitraria del file system, il bypass delle funzionalità di sicurezza e l’escalation dei privilegi. Il bollettino è Adobe Security Bulletin (APSB24-73).

NOTE
CVE-2024-45115, elencato nel bollettino sulla sicurezza precedente, è applicabile solo quando si utilizza il modulo B2B. Per garantire che la correzione per questa vulnerabilità possa essere applicata il più rapidamente possibile, Adobe ha anche rilasciato una patch isolata che risolve CVE-2024-45115.

Applica gli ultimi aggiornamenti di sicurezza il prima possibile. In caso contrario, si sarà vulnerabili a questi problemi di sicurezza e Adobe disporrà di mezzi limitati per contribuire a risolvere il problema.

NOTE
In caso di problemi durante l'applicazione della patch di sicurezza o della patch isolata, contattare il supporto tecnico.

Prodotti e versioni interessati

Adobe Commerce su Cloud e Adobe Commerce on-premise:

  • 2.4.7-p2 e versioni precedenti
  • 2.4.6-p7 e versioni precedenti
  • 2.4.5-p9 e versioni precedenti
  • 2.4.4-p10 e versioni precedenti

B2B:

  • 1.4.2-p2 e versioni precedenti
  • 1.3.5-p7 e versioni precedenti
  • 1.3.4-p9 e versioni precedenti
  • 1.3.3-p10 e versioni precedenti

Soluzione per il software on-premise Adobe Commerce on Cloud e Adobe Commerce

Per risolvere la vulnerabilità dei prodotti e delle versioni interessati, è necessario applicare la patch isolata CVE-2024-45115.

Dettagli patch isolata

Usare la seguente patch isolata collegata:

vuln-26510-composer-patch.zip

Come applicare il cerotto isolato

Decomprimi il file e vedi Come applicare una patch del compositore fornita da Adobe nella Knowledge Base di supporto per le istruzioni.

Solo per gli esercenti di Adobe Commerce on Cloud: come stabilire se le patch isolate sono state applicate

Considerando che non è possibile verificare facilmente se il problema è stato corretto, è possibile verificare se la patch isolata CVE-2024-45115 è stata applicata correttamente.

A tale scopo, eseguire la procedura seguente, utilizzando il file VULN-27015-2.4.7_COMPOSER.patch come esempio:

  1. Installare lo strumento Patch di qualità.

  2. Esegui il comando:

    cve-2024-34102-tell-if-patch-apply-code

  3. Dovresti visualizzare un output simile a questo, dove VULN-27015 restituisce lo stato Applicato:

    code language-bash 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom

Aggiornamenti di sicurezza

Aggiornamenti di sicurezza disponibili per Adobe Commerce:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a