SK-CERT Bezpečnostné varovanie V20240816-05

Dôležitosť Kritická
Klasifikácia Neutajované/TLP:CLEAR
CVSS Skóre
 9.0
Identifikátor
Adobe produkty – kritická bezpečnostná zraniteľnosť
Popis
Spoločnosť Adobe vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých jedna je označená ako kritická.
Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-39397 sa nachádza v produktoch Adobe Commerce a Magento Open Source, spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorených súborov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Zneužitím ostatných bezpečnostných zraniteľností možno získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme, spôsobiť zneprístupnenie služby, eskalovať privilégiá a vykonať škodlivý kód.
Zneužitie viacerých zraniteľností vyžaduje interakciu zo strany používateľa.
Dátum prvého zverejnenia varovania
13.8.2024
CVE
, CVE-2024-39397, CVE-2024-39398, CVE-2024-39399, CVE-2024-39400, CVE-2024-39401, CVE-2024-39402, CVE-2024-39403, CVE-2024-39404, CVE-2024-39405, CVE-2024-39406, CVE-2024-39407, CVE-2024-39408, CVE-2024-39409, CVE-2024-39410, CVE-2024-39411, CVE-2024-39412, CVE-2024-39413, CVE-2024-39414, CVE-2024-39415, CVE-2024-39416, CVE-2024-39417, CVE-2024-39418, CVE-2024-39419, CVE-2024-34118, CVE-2024-34133, CVE-2024-34134, CVE-2024-34135, CVE-2024-34136, CVE-2024-34137, CVE-2024-34138, CVE-2024-20789, CVE-2024-20790, CVE-2024-34124, CVE-2024-34125, CVE-2024-34126, CVE-2024-41865, CVE-2024-20753, CVE-2024-34117, CVE-2024-34127, CVE-2024-39389, CVE-2024-39390, CVE-2024-39391, CVE-2024-39393, CVE-2024-39394, CVE-2024-39395, CVE-2024-41850, CVE-2024-41851, CVE-2024-41852, CVE-2024-41853, CVE-2024-41854, CVE-2024-41866, CVE-2024-39383, CVE-2024-39422, CVE-2024-39423, CVE-2024-39424, CVE-2024-39425, CVE-2024-39426, CVE-2024-41830, CVE-2024-41831, CVE-2024-41832, CVE-2024-41833, CVE-2024-41834, CVE-2024-41835, CVE-2024-39386, CVE-2024-39387, CVE-2024-41840, CVE-2024-39388, CVE-2024-41858, CVE-2024-41860, CVE-2024-41861, CVE-2024-41862, CVE-2024-41863, CVE-2024-41864
IOC
Zasiahnuté systémy
Adobe Commerce vo verzii staršej ako 2.4.7-p2 (všetky OS)
Adobe Commerce vo verzii staršej ako 2.4.6-p7 (všetky OS)
Adobe Commerce vo verzii staršej ako 2.4.5-p9 (všetky OS)
Adobe Commerce vo verzii staršej ako 2.4.4-p10 (všetky OS)
Magento Open Source vo verzii staršej ako 2.4.7-p2 (všetky OS)
Magento Open Source vo verzii staršej ako 2.4.6-p7 (všetky OS)
Magento Open Source vo verzii staršej ako 2.4.5-p9 (všetky OS)
Magento Open Source vo verzii staršej ako 2.4.4-p10 (všetky OS)
Adobe Commerce and Magento Open Source bez aplikovanej bezpečnostnej záplaty acsd-60551-composer-patch (všetky OS)
Illustrator 2024 vo verzii staršej ako 28.6 a 27.9.5 (Windows a macOS)
Adobe Dimension vo verzii staršej ako 3.4.11 (Windows a macOS)
Photoshop 2023 vo verzii staršej ako 24.7.3 a 25.9.1 (Windows a macOS)
Adobe InDesign vo verzii staršej ako ID19.4 a ID18.5.2 (Windows a macOS)
Acrobat DC vo verzii staršej ako 24.002.21005 (Windows a macOS)
Acrobat Reader DC vo verzii staršej ako 24.002.21005 (Windows a macOS)
Acrobat 2024 vo verzii staršej ako 24.001.30159 (Windows a macOS)
Acrobat 2020 vo verzii staršej ako 20.005.30655 (Windows a macOS)
Acrobat Reader 2020 vo verzii staršej ako 20.005.30655 (Windows a macOS)
Adobe Bridge vo verzii staršej ako 13.0.8 a 14.1.1 (Windows a macOS)
Adobe Substance 3D Stager vo verzii staršej ako 3.0.3 (Windows a macOS)
Adobe InCopy vo verzii staršej ako 19.5 a 18.5.3 (Windows a macOS)
Adobe Substance 3D Sampler vo verzii staršej ako 4.5.1 (všetky OS)
Adobe Substance 3D Designer vo verzii staršej ako 14.0 (všetky OS)
Následky
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Zneprístupnenie služby
Odporúčania
Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom alebo vzdialené vykonanie kódu, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky.
Zdroje
https://helpx.adobe.com/security/products/magento/apsb24-61.html
https://helpx.adobe.com/security/products/illustrator/apsb24-45.html
https://helpx.adobe.com/security/products/dimension/apsb24-47.html
https://helpx.adobe.com/security/products/indesign/apsb24-56.html
https://helpx.adobe.com/security/products/photoshop/apsb24-49.html
https://helpx.adobe.com/security/products/bridge/apsb24-59.html
https://helpx.adobe.com/security/products/incopy/apsb24-64.html
https://helpx.adobe.com/security/products/substance3d-sampler/apsb24-65.html
https://helpx.adobe.com/security/products/substance3d_stager/apsb24-60.html
https://helpx.adobe.com/security/products/substance3d_designer/apsb24-67.html
https://helpx.adobe.com/security/products/acrobat/apsb24-57.html

« Späť na zoznam
Aktuálne hrozby
všetky oznámenia
Odkazy