Adobe Commerce適用的安全性更新 — APSB24-73
2024年10月8日,Adobe針對Adobe Commerce和Adobe Commerce Webhooks外掛程式,發佈定期排程的安全性更新。 此更新解決了嚴重、重要和中等漏洞。 成功利用此漏洞可能會導致執行任意程式碼、讀取任意檔案系統、略過安全性功能以及提升許可權。 公告是Adobe安全性公告(APSB24-73)。
CVE-2024-45115 (列於上述安全性公告)僅適用於使用B2B模組。 為了協助確保儘快套用此漏洞的補救措施,Adobe也發行隔離修補程式,解決CVE-2024-45115。
注意:請儘快套用最新的安全性更新。 若未這麼做,您就容易受到這些安全性問題的攻擊,而Adobe協助修正的方法有限。
如果您在套用安全性修補程式/隔離修補程式時遇到任何問題,請連絡支援服務。
說明 description
受影響的環境
-
雲端上的Adobe Commerce和Adobe Commerce內部部署:
- 2.4.7-p2和更舊版本
- 2.4.6-p7和更舊版本
- 2.4.5-p9和更舊版本
- 2.4.4-p10和較舊版本
-
B2B:
- 1.4.2-p2和較舊版本
- 1.3.5-p7和更舊版本
- 1.3.4-p9和更舊版本
- 1.3.3-p10和較舊版本
解決方法 resolution
適用於Adobe Commerce on Cloud和Adobe Commerce內部部署軟體
為協助解決受影響產品和版本的弱點,您必須套用CVE-2024-45115獨立修補程式。
隔離的修正程式詳細資訊
使用以下附加的隔離修補程式:
如何套用隔離的修補程式
解壓縮檔案,並在我們的支援知識庫中參閱如何套用Adobe提供的撰寫器修補程式,以取得指示。
僅適用於Adobe Commerce on Cloud商家 — 如何分辨是否已套用隔離的修補程式
考慮到無法輕鬆檢查問題是否已修補,您可能想要檢查CVE-2024-45115隔離修補程式是否已成功套用。
您可以透過下列步驟,使用檔案VULN-27015-2.4.7_COMPOSER.patch 作為範例 來執行此操作:
-
執行命令:
vendor/bin/magento-patches -n status |grep "27015\|Status" -
您應該會看到類似以下的輸出,其中VULN-27015傳回 已套用 狀態:
code language-none ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom ║
3d58f420-19b5-47a0-a122-5c9dab55ec7f