Platform
php
Component
magento/community-edition
Opgelost in
2.4.5
CVE-2024-20719 beschrijft een kritieke Cross-Site Scripting (XSS) kwetsbaarheid in Magento Community Edition. Deze kwetsbaarheid stelt een geauthenticeerde admin aanvaller in staat om kwaadaardige scripts te injecteren in elke admin pagina, wat kan leiden tot het overnemen van beheerdersaccounts. De kwetsbaarheid treft versies van Magento Community Edition tot en met 2.4.6. Een fix is beschikbaar in versie 2.4.4.
Een succesvolle exploitatie van deze XSS kwetsbaarheid kan ernstige gevolgen hebben. Een aanvaller kan kwaadaardige JavaScript code injecteren die wordt uitgevoerd in de browser van een beheerder. Dit kan worden gebruikt om sessiecookies te stelen, de beheerdersaccount over te nemen en ongeautoriseerde wijzigingen aan te brengen in de Magento installatie. De impact is aanzienlijk, aangezien een aanvaller volledige controle over de beheerdersinterface kan verkrijgen, wat resulteert in dataverlies, reputatieschade en verstoring van de dienstverlening. Het potentieel voor laterale beweging is aanwezig, aangezien een gecompromitteerde beheerdersaccount toegang kan verlenen tot andere systemen en data binnen de Magento omgeving.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen meldingen van actieve exploitatie in de wild, maar de kritieke ernst en de beschikbaarheid van de exploitatie details verhogen de kans op misbruik. De kwetsbaarheid is opgenomen in het CISA KEV catalogus. Er zijn publieke Proof-of-Concept (PoC) exploits beschikbaar, wat de exploitatie verder vereenvoudigt.
Organizations running Magento Community Edition versions 2.4.6-p3, 2.4.5-p5, 2.4.4-p6, and earlier are at significant risk. Specifically, those with limited resources for immediate patching or those relying on shared hosting environments where patching is managed by the hosting provider are particularly vulnerable. Magento installations with weak admin panel access controls are also at higher risk.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/app/code/Magento/Admin/block/• generic web:
curl -I https://your-magento-site.com/admin/ | grep -i "X-XSS-Protection"• generic web:
curl -I https://your-magento-site.com/admin/ | grep -i "Content-Security-Policy"disclosure
Exploit Status
EPSS
1.15% (78% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-20719 is het upgraden van Magento Community Edition naar versie 2.4.4 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de admin interface en het implementeren van strenge authenticatiecontroles. Het configureren van een Web Application Firewall (WAF) met regels om XSS aanvallen te detecteren en te blokkeren kan ook helpen. Controleer de Magento logbestanden op verdachte patronen die wijzen op pogingen tot exploitatie. Na de upgrade, bevestig de fix door te proberen een XSS payload in een admin veld te injecteren en te controleren of deze niet wordt uitgevoerd.
Werk Adobe Commerce bij naar de laatste beschikbare versie. Raadpleeg het beveiligingsbulletin van Adobe voor meer informatie en de gecorrigeerde versies. Pas de beveiligingspatches die door Adobe worden geleverd zo snel mogelijk toe.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-20719 is a critical stored Cross-Site Scripting (XSS) vulnerability in Magento Community Edition versions 2.4.6-p3 and earlier, allowing attackers to inject malicious scripts into admin pages.
Yes, if you are running Magento Community Edition versions 2.4.6-p3, 2.4.5-p5, 2.4.4-p6, or earlier, you are affected by this vulnerability.
Upgrade Magento Community Edition to version 2.4.4 or later to resolve this vulnerability. Implement WAF rules and restrict admin panel access as temporary mitigations.
While no confirmed exploitation has been publicly reported, the vulnerability's criticality and ease of exploitation suggest a high probability of exploitation.
Refer to the official Magento Security Advisories page for details: https://devdocs.magento.com/security/
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.