Origine : bjCSIRT
Numéro : 2024/ALERTE/044
Date de l’alerte : 16/07/2024
APERÇU :
Adobe Commerce est affecté par une vulnérabilité de type XML External Entity injection permettant à un acteur malveillant non authentifié d’envoyer un fichier XML faisant références à des entités externes.
DESCRIPTION :
Adobe Commerce est une plateforme d’e-commerce flexible utilisée par les entreprises pour créer et gérer des boutiques en ligne. Elle intègre des fonctionnalités de gestion de catalogue, de traitement des commandes et de paiement en ligne.
Cette plateforme est affectée par la vulnérabilité libellée CVE-2024-34102 permettant à un attaquant non authentifié d’envoyer à l’application affectée un fichier XML malveillant faisant références à des entités externes. Le parseur XML tente de résoudre et d’inclure les entités externes référencées dans le document XML. Cette vulnérabilité découle d’une gestion incorrecte de la désérialisation imbriquée.
L’exploitation de cette vulnérabilité permettrait à un acteur malveillant d’exécuter du code arbitraire à distance afin d’accéder à des fichiers sensibles sur le serveur.
Cette vulnérabilité est classée critique avec un score de sévérité de 9.8.
IMPACT :
- Atteinte à la confidentialité des données ;
- Compromission de l’intégrité du système ;
- Exécution de code arbitraire à distance.
SYSTÈMES AFFECTÉS :
- Adobe Commerce versions 2.4.4, et les versions inférieures à 2.4.4-p9 ;
- Adobe Commerce versions 2.4.6, 2.4.6-p1 et inférieures à 2.4.6-p6 ;
- Adobe Commerce versions 2.4.5, 2.4.5-p1 et inférieures, 2.4.5-p8 ;
- Adobe Commerce versions 2.4.7.
MESURES À PRENDRE :
- Mettre à jour Adobe Commerce vers les versions 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
RÉFÉRENCES :