Plateforme
adobe
Composant
adobe-commerce
Corrigé dans
3.2.6
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans Adobe Commerce. Cette faille permet à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources internes, contournant potentiellement des mesures de sécurité telles que les pare-feu. Les versions concernées sont celles antérieures à la version 3.2.5. Adobe a publié une correction dans la version 3.2.6.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de contourner les restrictions de sécurité et d'accéder à des ressources internes qui seraient normalement inaccessibles depuis l'extérieur. Cela peut inclure l'accès à des données sensibles stockées sur des serveurs internes, l'exécution de commandes sur des systèmes internes ou même le compromis d'autres applications s'exécutant sur le même réseau. Le fait que l'exploitation ne nécessite pas d'interaction de l'utilisateur augmente considérablement le risque, car un attaquant peut lancer une attaque sans intervention humaine. Cette vulnérabilité rappelle les risques associés aux attaques SSRF, où un serveur est utilisé comme proxy pour accéder à des ressources non autorisées.
La vulnérabilité CVE-2024-49521 a été rendue publique le 12 novembre 2024. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nature de la vulnérabilité SSRF et de la nécessité d'une certaine connaissance de l'infrastructure interne. Des preuves d'exploitation active n'ont pas été signalées publiquement, mais la disponibilité de la vulnérabilité et sa facilité d'exploitation potentielle suggèrent qu'elle pourrait être ciblée par des acteurs malveillants.
Organizations heavily reliant on Adobe Commerce for their e-commerce operations, particularly those with complex internal network architectures and sensitive data stored on internal systems, are at heightened risk. Shared hosting environments utilizing Adobe Commerce are also vulnerable, as a compromised tenant could potentially exploit the SSRF vulnerability to access resources belonging to other tenants.
• adobe: Examine Adobe Commerce access logs for unusual outbound requests to internal IP addresses or services.
grep -i 'internal_ip_address' /var/log/apache2/access.log• generic web: Use curl to test for SSRF by attempting to access internal resources through the Adobe Commerce application.
curl -v http://<adobe_commerce_server>/internal_resource• generic web: Check response headers for clues of internal redirects or server information.
curl -I http://<adobe_commerce_server>disclosure
Statut de l'Exploit
EPSS
0.32% (percentile 55%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à appliquer la correction publiée par Adobe dans la version 3.2.6. Si la mise à niveau immédiate n'est pas possible, des mesures temporaires peuvent être mises en place. Il est recommandé de configurer des règles de pare-feu pour limiter les requêtes sortantes du serveur Adobe Commerce à des destinations autorisées. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes malveillantes. Vérifiez attentivement la configuration de votre serveur pour vous assurer qu'il n'y a pas d'autres vulnérabilités SSRF potentielles. Après la mise à niveau, vérifiez l'intégrité des fichiers du système et examinez les journaux d'accès pour détecter toute activité suspecte.
Mettez à jour Adobe Commerce vers une version ultérieure à la 3.2.5 pour corriger la vulnérabilité SSRF. Consultez le bulletin de sécurité Adobe (APSB24-90) pour plus de détails et d'instructions spécifiques sur la mise à jour. Il est recommandé d'appliquer la mise à jour dès que possible pour éviter d'éventuelles attaques.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-49521 est une vulnérabilité SSRF (Server-Side Request Forgery) affectant Adobe Commerce versions 0–3.2.5, permettant à un attaquant de contourner les mesures de sécurité et d'accéder à des systèmes internes.
Vous êtes affecté si vous utilisez Adobe Commerce versions 0–3.2.5. La mise à jour vers la version 3.2.6 est nécessaire pour corriger cette vulnérabilité.
La solution est de mettre à jour Adobe Commerce vers la version 3.2.6. En attendant, configurez des règles de pare-feu et utilisez un WAF.
Bien qu'il n'y ait pas de preuves d'exploitation active, la vulnérabilité est potentiellement exploitable et pourrait être ciblée par des acteurs malveillants.
Consultez l'avis de sécurité officiel d'Adobe sur leur site web : [https://helpx.adobe.com/fr/security/product-cve-list.html](https://helpx.adobe.com/fr/security/product-cve-list.html)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.