ID do boletim
Última atualização em
10 de abr de 2023
Atualização de segurança disponível para o Adobe Commerce | APSB23-17
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
APSB23-17 |
14 de março de 2023 |
3 |
Resumo
A Adobe lançou atualizações de segurança para o Adobe Commerce e o Magento Open Source. Esta atualização resolve vulnerabilidades críticas, importantes e moderadas. A exploração bem-sucedida poderia levar à execução arbitrária do código, desvio de recursos de segurança e leitura arbitrária do sistema de arquivos.
Versões afetadas
| Produto | Versão | Plataforma |
|---|---|---|
| Adobe Commerce |
2.4.4-p2 e versões anteriores |
Todos |
| 2.4.5-p1 e versão anterior |
Todos |
|
| Magento Open Source | 2.4.4-p2 e versões anteriores |
Todos |
| 2.4.5-p1 e versão anterior |
Todos |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.
| Produto | Versão atualizada | Plataforma | Classificação de prioridade | Instruções de instalação |
|---|---|---|---|---|
| Adobe Commerce |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Todos |
3 | Notas de versão 2.4.x |
| Magento Open Source |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Todos |
3 |
Detalhes da vulnerabilidade
| Categoria da vulnerabilidade | Impacto da vulnerabilidade | Severidade | Autenticação necessária para explorar? | A exploração requer privilégios administrativos? |
Pontuação base de CVSS |
Vetor CVSS |
Número(s) CVE |
|---|---|---|---|---|---|---|---|
| XML Injection (também conhecido como Blind XPath Injection) (CWE-91) |
Leitura arbitrária do sistema de arquivos |
Crítico | Não | Não | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22247 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | Sim | Sim | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22249 |
| Controle de acesso impróprio (CWE-284) |
Falha de recurso de segurança |
Importante | Não | Não | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2023-22250 |
| Autorização inadequada (CWE-285) |
Falha de recurso de segurança |
Moderado | Não | Não | 3.1 | CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-22251 |
Observação:
Autenticação necessária para explorar: a vulnerabilidade é (ou não é) explorável sem credenciais.
A exploração requer privilégios administrativos: a vulnerabilidade é (ou não é) apenas explorável por um invasor com privilégios administrativos.
Agradecimentos
A Adobe gostaria de agradecer aos seguintes pesquisadores por terem relatado esse problema e trabalhado com a Adobe para ajudar a proteger nossos clientes:
- Ricardo Iramar dos Santos -- CVE-2023-22247
- linoskoczek (linoskoczek) -- CVE-2023-22249
- wash0ut (wash0ut) -- CVE-2023-22250
- Theis Corfixen (corfixen) -- CVE-2023-22251
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.
