Platform
adobe
Component
adobe-commerce
Opgelost in
3.2.6
CVE-2024-49521 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in Adobe Commerce. Deze kwetsbaarheid kan misbruikt worden om verzoeken vanaf de kwetsbare server naar interne systemen te sturen, waardoor beveiligingsmaatregelen zoals firewalls omzeild kunnen worden. De kwetsbaarheid treft versies van Adobe Commerce 0 tot en met 3.2.5 en is inmiddels verholpen in versie 3.2.6.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid stelt een aanvaller in staat om verzoeken te versturen vanaf de Adobe Commerce server naar interne systemen die normaal gesproken niet toegankelijk zouden zijn van buitenaf. Dit kan leiden tot het blootleggen van gevoelige data, het omzeilen van authenticatie en autorisatiecontroles, en mogelijk zelfs tot het verkrijgen van ongeautoriseerde toegang tot andere interne systemen. De impact is aanzienlijk, omdat de aanvaller geen gebruikersinteractie nodig heeft om de kwetsbaarheid te exploiteren. Het is vergelijkbaar met scenario's waarbij interne API's of beheerdiensten onbedoeld toegankelijk worden gemaakt via een webapplicatie.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2024-11-12. Er zijn momenteel geen publieke proof-of-concept exploits bekend, maar de SSRF-natuur van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits beschikbaar komen. De KEV-status is momenteel onbekend, maar de hoge CVSS-score (7.7) duidt op een potentieel significant risico.
Organizations heavily reliant on Adobe Commerce for their e-commerce operations, particularly those with complex internal network architectures and sensitive data stored on internal systems, are at heightened risk. Shared hosting environments utilizing Adobe Commerce are also vulnerable, as a compromised tenant could potentially exploit the SSRF vulnerability to access resources belonging to other tenants.
• adobe: Examine Adobe Commerce access logs for unusual outbound requests to internal IP addresses or services.
grep -i 'internal_ip_address' /var/log/apache2/access.log• generic web: Use curl to test for SSRF by attempting to access internal resources through the Adobe Commerce application.
curl -v http://<adobe_commerce_server>/internal_resource• generic web: Check response headers for clues of internal redirects or server information.
curl -I http://<adobe_commerce_server>disclosure
Exploit Status
EPSS
0.32% (55% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Adobe Commerce naar versie 3.2.6 of hoger, waar deze kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van een Web Application Firewall (WAF) met regels om SSRF-aanvallen te blokkeren. Configureer uw firewall om uitgaande verbindingen naar interne IP-adressen te beperken. Controleer de configuratie van uw Adobe Commerce installatie op onnodige interne verbindingen en verwijder deze. Monitor uw logs op verdachte uitgaande verzoeken.
Werk Adobe Commerce bij naar een versie later dan 3.2.5 om de SSRF-kwetsbaarheid te verhelpen. Raadpleeg het Adobe beveiligingsbulletin (APSB24-90) voor meer details en specifieke instructies over de update. Het wordt aanbevolen om de update zo snel mogelijk toe te passen om mogelijke aanvallen te voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-49521 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in Adobe Commerce 0–3.2.5, waardoor een aanvaller verzoeken naar interne systemen kan sturen en beveiligingsmaatregelen kan omzeilen.
Ja, als u Adobe Commerce gebruikt in versie 0 tot en met 3.2.5, dan bent u getroffen door deze kwetsbaarheid.
Upgrade Adobe Commerce naar versie 3.2.6 of hoger om de kwetsbaarheid te verhelpen. Implementeer tijdelijk een WAF en beperk uitgaande verbindingen.
Er zijn momenteel geen bekende actieve exploits, maar de SSRF-natuur van de kwetsbaarheid maakt misbruik waarschijnlijk.
Raadpleeg de Adobe Security Bulletin voor de meest recente informatie: [https://www.adobe.com/security/advisories/AdobeSecurityBulletinforAdobeCommerce.pdf](https://www.adobe.com/security/advisories/AdobeSecurityBulletinforAdobeCommerce.pdf)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.