CVE-2023-24489

CRÍTIC: (9,8)

CVSS3: 8,5

Adobe Commerce i Magento Open Source són vulnerables a seqüències d’ordres en llocs creuats causades per una validació incorrecta de l’entrada proporcionada per l’usuari. Un atacant remot autenticat podria explotar aquesta vulnerabilitat utilitzant un URL especialment dissenyat per executar un script al navegador web de la víctima dins del context de seguretat del lloc web d’allotjament una vegada que es fa clic a l’URL. A continuació, l’atacant podria utilitzar aquesta vulnerabilitat per prendre les credencials d’autenticació basades en les cookies de la víctima.

Sistemes Afectats

• Adobe Commerce 2.4.6
• Adobe Commerce 2.4.5-p2
• Adobe Commerce 2.4.4-p3
• Adobe Commerce 2.4.3-ext-2
• Adobe Commerce 2.4.2-ext-2
• Adobe Commerce 2.4.1-ext-2
• Adobe Commerce 2.4.0-ext-2
• Adobe Commerce 2.3.7-p4-ext-2
• Adobe Magento Open Source 2.4.6
• Adobe Magento Open Source 2.4.5-p2
• Adobe Magento Open Source 2.4.4-p

Remediació
Consulteu el butlletí de seguretat d’Adobe APSB23-35 per obtenir informació sobre actualitzacions o solucions suggerides. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://helpx.adobe.com/security/products/magento/apsb23-35.html
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-29297