Asesoría

24 de julio de 2024 Aviso: Una vulnerabilidad XXE no autenticada en Adobe Commerce podría comprometer el sitio y exponer datos confidenciales [CVE-2024-34102].

24 de julio de 2024

Etiquetas:

Respuesta rápida

Fecha de divulgación de la emisión: 13 de junio de 2024
CVE-ID y puntuación CVSS: CVE-2024-34102, CVSS 9.8 (Crítico)
Nombre y descripción del problema: Vulnerabilidad de entidad externa XML no autenticada (XXE) en Adobe Commerce (anteriormente conocido como Magento).
Descripción del activo: Adobe Commerce es una plataforma digital de comercio electrónico para empresas. Esto afecta a las siguientes versiones, según el aviso de seguridad de Adobe.

Producto	Versión	Plataforma
Adobe Comercio	2.4.7 y anteriores 2.4.6-p5 y anteriores 2.4.5-p7 y anteriores 2.4.4-p8 y anteriores 2.4.3-ext-7 y anteriores. 2.4.2-ext-7 y anteriores.	Todos
Magento Código abierto	2.4.7 y anteriores 2.4.6-p5 y anteriores 2.4.5-p7 y anteriores 2.4.4-p8 y anteriores	Todos
Plugin Webhooks de Adobe Commerce	1.2.0 a 1.4.0	Instalación manual de plugins

Impacto de la vulnerabilidad: Un atacante remoto no autenticado podría aprovechar esta vulnerabilidad para ejecutar código arbitrario, lo que podría comprometer completamente el sistema. El atacante podría acceder a datos confidenciales, escalar privilegios y/u obtener control no autorizado sobre la instalación de Adobe Commerce afectada.
Detalles de la explotación:
- La vulnerabilidad se debe a una gestión inadecuada de la deserialización anidada, que permite a los atacantes insertar entidades XML maliciosas. Al enviar un documento XML manipulado que incluya referencias a entidades externas, un atacante puede ejecutar código arbitrario. Tenga en cuenta que esta vulnerabilidad no requiere la interacción del usuario.
- Adobe ha confirmado que CVE-2024-34102 "ha sido explotado en la naturaleza en ataques limitados dirigidos a comerciantes de Adobe Commerce".(https://helpx.adobe.com/security/products/magento/apsb24-40.html )
- Desde ayer, 23 de julio de 2024, ha habido informes de que los actores de amenazas están explotando esta vulnerabilidad para violar sitios Magento y explotar archivos de intercambio para ataques de robo electrónico. Se inyecta código malicioso en los archivos swap que captura información sensible, como datos de tarjetas de pago.(https://securityaffairs.com/166073/malware/threat-actors-abused-swap-files-e-skimming.html )
Disponibilidad del parche:
- Adobe ha publicado actualizaciones de seguridad en las siguientes versiones: 2.4.7-p1, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
Detección con Censys: Las siguientes consultas pueden utilizarse para identificar todos Censys-instancias públicas visibles de Adobe Commerce/Magento. Tenga en cuenta que esto identifica el producto de software asociado con este aviso, pero no señala las instancias vulnerables. Será necesaria una confirmación adicional de la versión una vez descubierta.
- Censys Consulta de búsqueda: services.software: (vendor:"Adobe" and product:"Magento")
- Censys Consulta ASM: host.services.software: (vendor:"Adobe" and product:"Magento" ) or web_entity.instances.software: (vendor:"Adobe" and product:"Magento")
Referencias:

Volver al Centro de Recursos

Productos

Soluciones

Recursos

Empresa

24 de julio de 2024 Aviso: Una vulnerabilidad XXE no autenticada en Adobe Commerce podría comprometer el sitio y exponer datos confidenciales [CVE-2024-34102].

24 de julio de 2024 Aviso: Una vulnerabilidad XXE no autenticada en Adobe Commerce podría comprometer el sitio y exponer datos confidenciales [CVE-2024-34102].

Compartir