CVE-2024-34102
Mis à jour :
CosmicSting : Risque d’injection XML dans Adobe Commerce et Magento
Une faille de sécurité, identifiée sous la référence CVE-2024-34102 et surnommée “CosmicSting”, affecte les plateformes Adobe Commerce et Magento. Cette vulnérabilité est de type XML External Entity (XXE).
Elle résulte d’une gestion inadéquate des données XML lors de leur désérialisation, due à un manque de validation des entrées et à un traitement non sécurisé des données contrôlées par un attaquant.
Points Clés :
- Type de vulnérabilité : XML External Entity (XXE)
- Produits affectés : Adobe Commerce et Magento
- Cause : Mauvaise gestion des données XML, validation insuffisante des entrées, traitement non sécurisé des données contrôlées par l’attaquant.
Exploitation et Impact :
Un attaquant peut exploiter cette faille en soumettant des requêtes spécialement conçues ou un document XML référençant des entités externes. Une exploitation réussie peut permettre :
- L’extraction de fichiers sensibles.
- La réalisation de requêtes forgées côté serveur (Server-Side Request Forgery - SSRF).
- L’exécution de code arbitraire sur l’hôte distant.
Vulnérabilités :
- CVE-2024-34102 (CosmicSting)
Recommandations :
Bien que l’article ne détaille pas les recommandations spécifiques, les failles de type XXE sont généralement corrigées par des mises à jour logicielles fournies par le vendeur. Il est donc fortement recommandé de :
- Appliquer les correctifs et mises à jour de sécurité publiés par Adobe pour Adobe Commerce et Magento.
- Mettre en place des mécanismes de validation et de filtrage des données XML entrantes pour rejeter les entités externes potentiellement dangereuses.