DocumentaçãoCommerceKB do Commerce

Atualização de segurança disponível para o Adobe Commerce - APSB24-73

Last update: Tue Oct 29 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Criado para:

  • Desenvolvedor

Em 08 de outubro de 2024, o Adobe lançou uma atualização de segurança agendada regularmente para o Adobe Commerce e Adobe Commerce Webhooks Plugin.
Esta atualização resolve critical, important e moderate vulnerabilidades. A exploração bem-sucedida pode levar à execução arbitrária de código, à leitura arbitrária do sistema de arquivos, ao desvio de recursos de segurança e ao escalonamento de privilégios. O informativo é Boletim de Segurança de Adobe (APSB24-73).

NOTE
CVE-2024-45115, listado no boletim de segurança acima, é aplicável somente ao usar o módulo B2B. Para ajudar a garantir que a correção para esta vulnerabilidade possa ser aplicada o mais rápido possível, o Adobe também lançou um patch Isolado que resolve CVE-2024-45115.

Aplique as atualizações de segurança mais recentes assim que possível. Se você não conseguir fazer isso, estará vulnerável a esses problemas de segurança e o Adobe terá meios limitados para ajudar a remediar.

NOTE
Entre em contato com os Serviços de suporte se encontrar problemas ao aplicar o patch de segurança/patch isolado.

Produtos e versões afetados

Adobe Commerce na nuvem e Adobe Commerce no local:

  • 2.4.7-p2 e anterior
  • 2.4.6-p7 e anterior
  • 2.4.5-p9 e anterior
  • 2.4.4-p10 e anterior

B2B:

  • 1.4.2-p2 e anterior
  • 1.3.5-p7 e anterior
  • 1.3.4-p9 e anterior
  • 1.3.3-p10 e anterior

Solução para software Adobe Commerce na nuvem e Adobe Commerce no local

Para ajudar a resolver a vulnerabilidade dos produtos e versões afetados, aplique o patch Isolado CVE-2024-45115.

Detalhes do patch isolado

Use o seguinte patch isolado:

vuln-26510-composer-patch.zip

Como aplicar o patch Isolado

Descompacte o arquivo e consulte Como aplicar um patch de compositor fornecido pelo Adobe em nossa base de dados de suporte para obter instruções.

Somente para Adobe Commerce em comerciantes na nuvem - Como saber se os patches isolados foram aplicados

Considerando que não é possível verificar facilmente se o problema foi corrigido, convém verificar se o patch Isolado CVE-2024-45115 foi aplicado com êxito.

Você pode fazer isso seguindo as etapas abaixo, usando o arquivo VULN-27015-2.4.7_COMPOSER.patch como exemplo:

  1. Instale a Ferramenta de Correções de Qualidade.

  2. Executar o comando:

    cve-2024-34102-tell-if-patch-plied-code

  3. Você deve ver uma saída semelhante a esta, onde VULN-27015 retorna o status Aplicado:

    code language-bash 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom

Atualizações de segurança

Atualizações de segurança disponíveis para o Adobe Commerce:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a