Plataforma
adobe
Componente
adobe-commerce
Corregido en
2.4.5
Se ha identificado una vulnerabilidad de autenticación incorrecta en Adobe Commerce, que podría permitir a un atacante obtener acceso no autorizado o privilegios elevados dentro de la aplicación. Esta vulnerabilidad afecta a las versiones 2.4.7-p2, 2.4.6-p7, 2.4.5-p9 y versiones anteriores. La solución recomendada es actualizar a las versiones 2.4.5-p9, 2.4.6-p7 o 2.4.7-p2.
La explotación exitosa de esta vulnerabilidad permite a un atacante eludir los mecanismos de autenticación y obtener acceso a funcionalidades o datos a los que normalmente no tendría acceso. Esto podría incluir la modificación de configuraciones críticas, la ejecución de código malicioso o el robo de información confidencial. La falta de interacción del usuario necesaria para la explotación aumenta significativamente el riesgo, ya que un atacante podría comprometer el sistema de forma remota sin necesidad de engañar a los usuarios. Un ataque exitoso podría resultar en una pérdida significativa de confidencialidad, integridad y disponibilidad del sistema.
Esta vulnerabilidad ha sido publicada públicamente el 10 de octubre de 2024. No se ha confirmado la explotación activa en entornos reales, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad. La ausencia de interacción del usuario la convierte en un objetivo atractivo para los atacantes.
Organizations heavily reliant on Adobe Commerce for their e-commerce operations are at significant risk. This includes businesses using custom extensions or integrations that may introduce additional vulnerabilities. Shared hosting environments where multiple Adobe Commerce instances reside on the same server are also particularly vulnerable, as a compromise of one instance could potentially impact others.
• linux / server: Monitor Adobe Commerce logs for unusual authentication attempts or privilege escalation patterns. Use journalctl -f to observe authentication events in real-time.
journalctl -f | grep "authentication failed" -i• generic web: Use curl to probe for potential authentication bypass endpoints. Examine response headers for signs of unauthorized access.
curl -I https://your-commerce-site.com/admin/some-sensitive-endpoint• wordpress / composer / npm: (Not applicable as Adobe Commerce is not a WordPress plugin) • database (mysql, redis, mongodb, postgresql): (Not applicable as the vulnerability is not directly in the database) • windows / supply-chain: (Not applicable as Adobe Commerce is primarily a Linux-based platform)
disclosure
patch
Estado del Exploit
EPSS
0.75% (73% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Adobe Commerce a una versión corregida: 2.4.5-p9, 2.4.6-p7 o 2.4.7-p2. Si la actualización inmediata no es posible, considere implementar medidas de seguridad adicionales, como la revisión y restricción de los permisos de usuario, la implementación de una autenticación multifactor (MFA) y el monitoreo continuo de la actividad del sistema en busca de signos de compromiso. Revise las reglas de su firewall de aplicaciones web (WAF) para bloquear intentos de explotación conocidos. Después de la actualización, confirme la mitigación revisando los registros de auditoría y realizando pruebas de penetración para verificar que los mecanismos de autenticación funcionan correctamente.
Actualice Adobe Commerce a la última versión disponible. Consulte el boletín de seguridad de Adobe para obtener instrucciones detalladas sobre cómo actualizar su instalación. Aplique los parches proporcionados por Adobe para mitigar la vulnerabilidad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-45115 is a CRITICAL Improper Authentication vulnerability in Adobe Commerce allowing attackers to gain elevated privileges without user interaction.
Yes, if you are running Adobe Commerce versions 0 through 2.4.4-p10, you are affected by this vulnerability.
Upgrade Adobe Commerce to version 2.4.5-p9, 2.4.6-p7, or 2.4.7-p2 to remediate the vulnerability.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's critical severity suggests it is a likely target for attackers.
Refer to the Adobe Security Bulletin for CVE-2024-45115: https://www.adobe.com/security/advisories/known/AdobeID-Security-Advisory.txt
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.