Adobe Commerce/Magento jusqu’à 2.4.4-p8/2.4.5-p7/2.4.6-p5/2.4.7 XML Document XML External Entity

CVSS Score méta-temporairePrix actuel de l'exploit (≈)Score d'intérêt CTI
9.6$0-$5k0.00

Résuméinformation

Il a été détecté une vulnérabilité classée problématique dans Adobe Commerce and Magento jusqu’à 2.4.4-p8/2.4.5-p7/2.4.6-p5/2.4.7. La partie affectée est une fonction inconnue du composant XML Document Handler. A cause de la manipulation avec une valeur d'entrée inconnue mène à une vulnérabilité de classe XML External Entity. Cette faille est connue sous le nom CVE-2024-34102. L'attaque peut être menée à distance. En outre, un exploit est accessible. Il est recommandé d'appliquer un correctif pour résoudre ce problème.

Détailsinformation

Une vulnérabilité classée critique a été trouvée dans Adobe Commerce et Magento jusqu’à 2.4.4-p8/2.4.5-p7/2.4.6-p5/2.4.7. Affecté par cette vulnérabilité est une fonction inconnue du composant XML Document Handler. A cause de la manipulation avec une valeur d'entrée inconnue mène à une vulnérabilité de classe xml external entity.

La notice d'information est disponible en téléchargement sur helpx.adobe.com Cette vulnérabilité est identifiée comme CVE-2024-34102. L'exploitation est considérée comme facile. L'attaque peut être lancée à distance. Aucune forme d'authentification est requise pour l'exploitation. Les details techniques sont inconnus mais une méthode d'exploitation public est connue.

L'exploit est disponible au téléchargment sur packetstormsecurity.com. Il est déclaré comme attaqué. Le scanner de vulnérabilités Nessus propose un module ID 242634 (Adobe Commerce/Magento Open Source Multiple Vulnerabilities (APSB24-40)), lequel aide à déterminer l'existence d'une faille dans l'environnement-cible.

En appliquant un correctif il est possible d'éliminer le problème.

La vulnérabilité est aussi documentée dans la base de données Tenable (242634). If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Produitinformation

Taper

Fournisseur

Nom

Version

Licence

Site web

CPE 2.3information

CPE 2.2information

CVSSv4information

VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍

CVSSv3information

VulDB Score méta-base: 9.8
VulDB Score méta-temporaire: 9.6

VulDB Note de base: 9.8
VulDB Note temporaire: 9.4
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍

CNA Note de base: 9.8
CNA Vecteur (Adobe Systems Incorporated): 🔍

CVSSv2information

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VecteurComplexitéAuthentificationConfidentialitéIntégritéDisponibilité
DéverrouillerDéverrouillerDéverrouillerDéverrouillerDéverrouillerDéverrouiller
DéverrouillerDéverrouillerDéverrouillerDéverrouillerDéverrouillerDéverrouiller
DéverrouillerDéverrouillerDéverrouillerDéverrouillerDéverrouillerDéverrouiller

VulDB Note de base: 🔍
VulDB Note temporaire: 🔍
VulDB Fiabilité: 🔍

Exploitationinformation

Classe: XML External Entity
CWE: CWE-611 / CWE-610
CAPEC: 🔍
ATT&CK: 🔍

Physique: Non
Local: Non
Remote: Oui

Disponibilité: 🔍
Accès: Public
Statut: Attaqué
Télécharger: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

KEV Ajouté: 🔍
KEV Jusqu'à quand: 🔍
KEV Contre-mesures: 🔍
KEV Ransomware: 🔍
KEV Avis: 🔍

Prédiction de prix: 🔍
Estimation actuelle des prix: 🔍

0-DayDéverrouillerDéverrouillerDéverrouillerDéverrouiller
Aujourd'huiDéverrouillerDéverrouillerDéverrouillerDéverrouiller

Nessus ID: 242634
Nessus Nom: Adobe Commerce/Magento Open Source Multiple Vulnerabilities (APSB24-40)

Renseignements sur les menacesinformation

Intérêt: 🔍
Acteurs actifs: 🔍
Groupes APT actifs: 🔍

Contre-mesuresinformation

Recommandé: Correctif
Statut: 🔍

Heure 0 jour: 🔍

Chronologieinformation

30/04/2024 🔍
13/06/2024 +44 jours 🔍
13/06/2024 +0 jours 🔍
24/07/2025 +406 jours 🔍

Sourcesinformation

Fournisseur: adobe.com

Bulletin: apsb24-40
Statut: Confirmé

CVE: CVE-2024-34102 (🔍)
GCVE (CVE): GCVE-0-2024-34102
GCVE (VulDB): GCVE-100-268245
scip Labs: https://www.scip.ch/en/?labs.20161013

Entréeinformation

Créé: 13/06/2024 12:41
Mise à jour: 24/07/2025 20:34
Changements: 13/06/2024 12:41 (65), 09/07/2024 10:11 (2), 10/07/2024 03:32 (1), 17/07/2024 21:57 (13), 22/07/2024 15:30 (2), 09/09/2024 22:30 (1), 24/07/2025 20:34 (3)
Complet: 🔍
Cache ID: 216::103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Discussion

 vuldb_ja3_io (+0)
il y a 2 ans
Sounds like a vulnerability in the SOAP API endpoints.
https://developer.adobe.com/commerce/webapi/get-started/soap-web-api-calls/
 Anonymous User (+0)
il y a 2 ans
Good morning,
According to Sonicwal the vulnerability also impacts Magento. Could you also add the following cpe?
adobe:magento
We would appreciate it very much.
Best Regards,
TEAM CERT
 VulDB Community Teamil y a 2 ans
Thank you. Basically, Magento has become Adobe Commerce. We have extended all CPEs for this Adobe advisory APSB24-40.

PrécédentAperçuSuivant

Interested in the pricing of exploits?

See the underground prices here!