Beveiligingsadvies NCSC-2024-0348 [1.00] [M/H] Kwetsbaarheden verholpen in Adobe Commerce en Magento

Adobe Commerce en Magento Beveiligingsupdate: Kwetsbaarheden Verholpen

Inleiding

Dit document informeert over de recente beveiligingsupdates die zijn uitgebracht voor Adobe Commerce en Magento. Binnen deze updates zijn diverse kwetsbaarheden aangepakt. Lees verder voor een gedetailleerde uitleg van deze kwetsbaarheden, hun mogelijke impact, de getroffen softwareversies, en hoe u deze problemen kunt oplossen.

Achtergrondinformatie

Adobe Commerce en Magento zijn populaire e-commerceplatforms die door veel organisaties wereldwijd worden gebruikt. Beveiligingskwetsbaarheden binnen deze platforms kunnen leiden tot ernstige problemen zoals ongeautoriseerde toegang, gegevenslekken, en het uitvoeren van schadelijke code.

Beveiligingsadviezen

Deze informatie is afkomstig van de officiële beveiligingsadviezen die automatisch zijn omgezet naar HTML. Let op dat de originele, Signed PGP-versies altijd leidend zijn.

Publicatiedetails

Versie: 1.00
Datum: Vandaag
Advies ID: NCSC-2024-0348
Kansniveau: Medium
Schadeniveau: Hoog

U kunt het volledige beveiligingsadvies hier lezen in plain text, CSAF of PDF formaat.

Kenmerken van Kwetsbaarheden

Adobe heeft verschillende kwetsbaarheden in hun platform verholpen, waaronder:

  • Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)
  • Unrestricted Upload of File with Dangerous Type
  • Exposure of Sensitive Information to an Unauthorized Actor
  • Incorrect Authorization
  • Improper Authorization
  • Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)
  • Improper Access Control
  • Cross-Site Request Forgery (CSRF)
  • Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)
  • Improper Restriction of Excessive Authentication Attempts

Omschrijving

Adobe heeft deze kwetsbaarheden aangepakt om te voorkomen dat kwaadwillenden beveiligingsmaatregelen omzeilen, zichzelf verhoogde rechten toekennen of willekeurige code uitvoeren met de rechten van de applicatie.

Bereik van de Kwetsbaarheden

De kwetsbaarheden treffen de volgende platforms en producten:

Producten:

  • Adobe Commerce
  • Magento Open Source

Versie:

  • 2.4.4-p9

Oplossingen

Adobe heeft updates vrijgegeven die deze kwetsbaarheden verhelpen. Gebruikers wordt dringend aangeraden deze updates zo snel mogelijk te installeren om de beveiligingsrisico’s te mitigeren. Meer informatie vindt u in de bijgevoegde referenties.

CVE’s

Elke kwetsbaarheid is gedocumenteerd met een unieke CVE (Common Vulnerabilities and Exposures) referentie. Dit zijn onder andere:

Een complete lijst van de CVE’s kunt u hier vinden.

Door gebruik van deze beveiligingsinformatie stemt u in met de volgende voorwaarden. Ondanks dat het Nationaal Cyber Security Centrum (NCSC) de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid, of (voortdurende) actualiteit van deze informatie. De informatie is uitsluitend bedoeld als algemene informatie voor professionele gebruikspartijen. Geen enkel recht kan worden ontleend aan de informatie in dit beveiligingsadvies.

Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, inbegrepen schade wegens onjuistheid of onvolledigheid van de informatie. Dit advies valt onder Nederlands recht en alle geschillen zullen worden voorgelegd aan de bevoegde rechter in Den Haag, inclusief de voorzieningenrechter in kort geding.

Voor meer informatie en updates, bezoek de officiële website van het NCSC.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----