Vulnérabilité de type XML External Entity injection affectant Adobe Commerce
Adobe Commerce est une plateforme d’e-commerce flexible utilisée par les entreprises pour créer et gérer des boutiques en ligne. Elle intègre des fonctionnalités de gestion de catalogue, de traitement des commandes et de paiement en ligne.
Cette plateforme est affectée par la vulnérabilité libellée CVE-2024-34102 permettant à un attaquant non authentifié d’envoyer à l’application affectée un fichier XML malveillant faisant références à des entités externes. Le parseur XML tente de résoudre et d’inclure les entités externes référencées dans le document XML. Cette vulnérabilité découle d’une gestion incorrecte de la désérialisation imbriquée.
L’exploitation de cette vulnérabilité permettrait à un acteur malveillant d’exécuter du code arbitraire à distance afin d’accéder à des fichiers sensibles sur le serveur.
Cette vulnérabilité est classée critique avec un score de sévérité de 9.8.
RISQUES DE SÉCURITÉ
- Atteinte à la confidentialité des données
- Compromission de l’intégrité du système
- Exécution de code arbitraire à distance
SYSTÈMES AFFECTÉS
- Adobe Commerce versions 2.4.4, et les versions inférieures à 2.4.4-p9
- Adobe Commerce versions 2.4.6, 2.4.6-p1 et inférieures à 2.4.6-p6
- Adobe Commerce versions 2.4.5, 2.4.5-p1 et inférieures, 2.4.5-p8
- Adobe Commerce versions 2.4.7.
MESURES À PRENDRE
- Mettre à jour Adobe Commerce vers les versions 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
Source : bjCSIRT