Beratung

24. Juli 2024 Hinweis: Unauthentifizierte XXE-Schwachstelle in Adobe Commerce kann zur Kompromittierung von Websites und zur Offenlegung sensibler Daten führen [CVE-2024-34102]

24. Juli 2024

Tags:

Rapid Response

Datum der Offenlegung der Ausgabe: 13. Juni 2024
CVE-ID und CVSS-Score: CVE-2024-34102, CVSS 9.8 (kritisch)
Name und Beschreibung des Problems: Nicht authentifizierte XML External Entity (XXE)-Schwachstelle in Adobe Commerce (früher bekannt als Magento).
Asset-Beschreibung: Adobe Commerce ist eine digitale eCommerce-Plattform für Unternehmen. Laut Adobes Sicherheitshinweis sind die folgenden Versionen betroffen.

Produkt	Version	Plattform
Adobe Commerce	2.4.7 und früher 2.4.6-p5 und früher 2.4.5-p7 und früher 2.4.4-p8 und früher 2.4.3-ext-7 und früher* 2.4.2-ext-7 und früher*	Alle
Magento Open Source	2.4.7 und früher 2.4.6-p5 und früher 2.4.5-p7 und früher 2.4.4-p8 und früher	Alle
Adobe Commerce Webhooks-Plugin	1.2.0 bis 1.4.0	Manuelle Plugin-Installation

Auswirkungen der Schwachstelle: Ein nicht authentifizierter entfernter Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Code auszuführen, was zu einer vollständigen Kompromittierung des Systems führen kann. Der Angreifer könnte auf vertrauliche Daten zugreifen, seine Berechtigungen erweitern und/oder unbefugte Kontrolle über die betroffene Adobe Commerce-Installation erlangen.
Details zur Ausbeutung:
- Die Sicherheitslücke ist auf eine unsachgemäße Verwaltung der verschachtelten Deserialisierung zurückzuführen, die es Angreifern ermöglicht, bösartige XML-Entitäten einzufügen. Durch Einreichen eines manipulierten XML-Dokuments, das Verweise auf externe Entitäten enthält, kann ein Angreifer beliebigen Code ausführen. Beachten Sie, dass diese Sicherheitslücke keine Benutzerinteraktion erfordert.
- Adobe hat bestätigt, dass CVE-2024-34102 "in begrenztem Umfang bei Angriffen auf Adobe Commerce-Händler ausgenutzt wurde".(https://helpx.adobe.com/security/products/magento/apsb24-40.html )
- Seit gestern, dem 23. Juli 2024, gibt es Berichte, dass Bedrohungsakteure diese Schwachstelle ausnutzen, um in Magento-Websites einzudringen und Auslagerungsdateien für E-Skimming-Angriffe zu nutzen. In die Auslagerungsdateien wird bösartiger Code eingeschleust, der sensible Informationen wie Zahlungskartendaten abfängt.(https://securityaffairs.com/166073/malware/threat-actors-abused-swap-files-e-skimming.html )
Patch-Verfügbarkeit:
- Adobe hat Sicherheitsupdates für die folgenden Versionen veröffentlicht: 2.4.7-p1, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
Erkennung mit Censys: Die folgenden Abfragen können genutzt werden, um Folgendes zu ermitteln alle Censys-sichtbare, öffentlich zugängliche Adobe Commerce/Magento-Instanzen. Beachten Sie, dass dies das Software-Produkt identifiziert, das mit diesem Hinweis in Verbindung steht, aber nicht die anfälligen Instanzen identifiziert. Eine weitere Versionsbestätigung ist nach der Entdeckung erforderlich.
- Censys Search Abfrage: services.software: (vendor:"Adobe" and product:"Magento")
- Censys ASM-Abfrage: host.services.software: (vendor:"Adobe" and product:"Magento" ) or web_entity.instances.software: (vendor:"Adobe" and product:"Magento")
Referenzen:

Zurück zu Ressourcen Hub

Produkte

Lösungen

Ressourcen

Unternehmen

24. Juli 2024 Hinweis: Unauthentifizierte XXE-Schwachstelle in Adobe Commerce kann zur Kompromittierung von Websites und zur Offenlegung sensibler Daten führen [CVE-2024-34102]

24. Juli 2024 Hinweis: Unauthentifizierte XXE-Schwachstelle in Adobe Commerce kann zur Kompromittierung von Websites und zur Offenlegung sensibler Daten führen [CVE-2024-34102]

Teilen Sie