Avis

24 juillet 2024 Avis : La vulnérabilité XXE non authentifiée d'Adobe Commerce peut entraîner la compromission d'un site et l'exposition de données sensibles [CVE-2024-34102].

24 juillet 2024

Tags :

Réponse rapide

Date de divulgation de l'émission : 13 juin 2024
CVE-ID et score CVSS : CVE-2024-34102, CVSS 9.8 (Critique)
Nom et description du problème : Vulnérabilité de l'entité externe XML non authentifiée (XXE) dans Adobe Commerce (anciennement connu sous le nom de Magento).
Description de l'actif: Adobe Commerce est une plateforme numérique de commerce électronique pour les entreprises. Ce problème affecte les versions suivantes, selon l'avis de sécurité d'Adobe.

Produit	Version	Plate-forme
Adobe Commerce	2.4.7 et antérieures 2.4.6-p5 et antérieures 2.4.5-p7 et antérieures 2.4.4-p8 et versions antérieures 2.4.3-ext-7 et versions antérieures* 2.4.2-ext-7 et versions antérieures*	Tous
Magento Open Source	2.4.7 et antérieures 2.4.6-p5 et antérieures 2.4.5-p7 et antérieures 2.4.4-p8 et versions antérieures	Tous
Plugin Adobe Commerce Webhooks	1.2.0 à 1.4.0	Installation manuelle des plugins

Impact de la vulnérabilité: Un attaquant distant non authentifié peut exploiter cette vulnérabilité pour exécuter un code arbitraire, ce qui peut compromettre complètement le système. L'attaquant pourrait accéder à des données sensibles, élever ses privilèges et/ou obtenir un contrôle non autorisé sur l'installation d'Adobe Commerce concernée.
Détails de l'exploitation :
- La vulnérabilité est due à une mauvaise gestion de la désérialisation imbriquée, qui permet aux attaquants d'insérer des entités XML malveillantes. En soumettant un document XML malveillant qui inclut des références à des entités externes, un attaquant peut exécuter un code arbitraire. Notez que cette vulnérabilité ne nécessite pas d'interaction de la part de l'utilisateur.
- Adobe a confirmé que CVE-2024-34102 "a été exploité dans la nature dans le cadre d'attaques limitées visant les commerçants d'Adobe Commerce".(https://helpx.adobe.com/security/products/magento/apsb24-40.html )
- Depuis hier, 23 juillet 2024, des rapports indiquent que des acteurs de la menace exploitent cette vulnérabilité pour pénétrer dans les sites Magento et exploiter les fichiers d'échange pour des attaques d'écrémage. Un code malveillant est injecté dans les fichiers d'échange et capture des informations sensibles telles que les informations relatives aux cartes de paiement.(https://securityaffairs.com/166073/malware/threat-actors-abused-swap-files-e-skimming.html )
Disponibilité du patch :
- Adobe a publié des mises à jour de sécurité pour les versions suivantes : 2.4.7-p1, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8.
Détection avec Censys: Les requêtes suivantes peuvent être utilisées pour identifier tous Censys-les instances d'Adobe Commerce/Magento visibles par le public. Notez que cela identifie le produit logiciel associé à cet avis mais ne précise pas les instances vulnérables. Une confirmation supplémentaire de la version sera nécessaire lors de la découverte.
- Censys Requête de recherche: services.software: (vendor:"Adobe" and product:"Magento")
- Censys Requête ASM: host.services.software: (vendor:"Adobe" and product:"Magento" ) or web_entity.instances.software: (vendor:"Adobe" and product:"Magento")
Références :

Retour au centre de ressources

Produits

Cas d'utilisation

Industries

Ressources

Entreprise

24 juillet 2024 Avis : La vulnérabilité XXE non authentifiée d'Adobe Commerce peut entraîner la compromission d'un site et l'exposition de données sensibles [CVE-2024-34102].

24 juillet 2024 Avis : La vulnérabilité XXE non authentifiée d'Adobe Commerce peut entraîner la compromission d'un site et l'exposition de données sensibles [CVE-2024-34102].

Partager