文档CommerceCommerce KB

[仅限PaaS]{class="badge informative" title="仅适用于云项目(Adobe管理的PaaS基础架构)和内部部署项目上的Adobe Commerce 。"}

可用于Adobe Commerce的安全更新 — APSB24-61

Last update: Mon May 05 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

创建对象:

  • 开发人员

2024年8月13日,Adobe发布了Adobe Commerce、Magento Open Source和Adobe Commerce Webhooks插件的定期安全更新。
此更新解决了critical, important和 moderate漏洞。 成功利用此漏洞可能会导致执行任意代码、读取任意文件系统、绕过安全功能以及权限提升。 公告是Adobe安全公告(APSB24-61)

NOTE
以上安全公告中列出的​ CVE-2024-39397仅在使用Apache Web服务器时适用。 ​为了帮助确保尽快应用此漏洞的修复,Adobe还发布了解决CVE-2024-39397问题的独立修补程序。

请尽快应用最新的安全更新。 如果您未能做到这一点,您将容易遭受这些安全问题的攻击,而Adobe帮助进行补救的手段有限。

NOTE
如果您在应用安全修补程序/隔离修补程序时遇到任何问题,请联系支持服务。

受影响的产品和版本

Adobe Commerce on Cloud、Adobe Commerce内部部署和Magento Open Source:

  • 2.4.7-p1及更早版本
  • 2.4.6-p6及更低版本
  • 2.4.5-p8及更低版本
  • 2.4.4-p9及更低版本

适用于Adobe Commerce on Cloud、Adobe Commerce本地软件和Magento Open Source的解决方案

为帮助解决受影响产品和版本的漏洞,必须应用CVE-2024-39397独立修补程序。

隔离的补丁程序详细信息

使用以下附加的隔离修补程序:

如何应用独立修补程序

解压缩文件,并参阅我们的支持知识库中的如何应用Adobe提供的编辑器修补程序以获取说明。

仅适用于Adobe Commerce on Cloud商家 — 如何判断是否已应用独立的修补程序

考虑到无法轻松检查问题是否已修补,您可能希望检查CVE-2024-39397隔离修补程序是否已成功应用。

您可以执行以下步骤,以文件VULN-27015-2.4.7_COMPOSER.patch为例

  1. 安装质量修补程序工具

  2. 运行命令:

    cve-2024-34102-tell-if-patch-applied-code

  3. 您应该会看到类似以下内容的输出,其中VULN-27015返回​ 已应用 ​状态:

    code language-bash 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom

安全更新

可用于Adobe Commerce的安全更新:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a