文件CommerceCommerce KB

可用於Adobe Commerce的安全性更新 — APSB24-73

Last update: Tue Oct 29 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

建立對象:

  • 開發人員

2024年10月8日,Adobe已發行Adobe Commerce和Adobe Commerce Webhooks Plugin的定期排程安全性更新。
此更新解決critical, important和 moderate漏洞。 成功利用此漏洞可能會導致執行任意程式碼、讀取任意檔案系統、略過安全性功能以及提升許可權。 公告是Adobe安全性公告(APSB24-73)

NOTE
以上安全性公告中列出的​ CVE-2024-45115僅適用於使用B2B模組。 ​為了協助確保儘快套用此漏洞的補救,Adobe也發行了解決CVE-2024-45115的隔離修補程式。

請儘快套用最新的安全性更新。 若未這麼做,您就容易受到這些安全性問題的攻擊,而Adobe的協助補救方式有限。

NOTE
如果您在套用安全性修補程式/隔離修補程式時遇到任何問題,請連絡支援服務。

受影響的產品和版本

雲端上的Adobe Commerce和Adobe Commerce內部部署:

  • 2.4.7-p2和更舊版本
  • 2.4.6-p7和更舊版本
  • 2.4.5-p9和更舊版本
  • 2.4.4-p10和較舊版本

B2B:

  • 1.4.2-p2和較舊版本
  • 1.3.5-p7和更舊版本
  • 1.3.4-p9和更舊版本
  • 1.3.3-p10和較舊版本

適用於Adobe Commerce on Cloud和Adobe Commerce內部部署軟體的解決方案

若要協助解決受影響產品和版本的弱點,您必須套用CVE-2024-45115獨立修補程式。

隔離的修正程式詳細資訊

使用以下附加的隔離修補程式:

vuln-26510-composer-patch.zip

如何套用隔離的修補程式

解壓縮檔案,並參閱我們的支援知識庫中的如何套用Adobe提供的撰寫器修補程式,以取得指示。

僅適用於Adobe Commerce on Cloud商家 — 如何分辨是否已套用隔離的修補程式

考慮到無法輕易檢查問題是否已修補,您可能想要檢查CVE-2024-45115隔離的修補程式是否已成功套用。

您可以執行下列步驟,以檔案VULN-27015-2.4.7_COMPOSER.patch 為例

  1. 安裝品質修補工具

  2. 執行命令:

    cve-2024-34102-tell-if-patch-applied-code

  3. 您應該會看到類似以下的輸出,其中VULN-27015傳回​ 已套用 ​狀態:

    code language-bash 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom

安全性更新

Adobe Commerce可用的安全性更新:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a