Bollettino sulla sicurezza di Adobe

Aggiornamento di sicurezza disponibile per Adobe Commerce | APSB23-17

ID bollettino

Data di pubblicazione

Priorità

APSB23-17

14 marzo 2023

3

Riepilogo

Adobe ha rilasciato un aggiornamento della sicurezza per Adobe Commerce e Magento Open Source. Questo aggiornamento risolve vulnerabilità critiche, importanti e moderate.   Lo sfruttamento efficace potrebbe portare a esecuzione di codice arbitrario, aggiramento delle funzioni di sicurezza e lettura arbitraria del file system.

Versioni interessate

Prodotto Versione Piattaforma
 Adobe Commerce
2.4.4-p2 e versioni precedenti 
Tutte
2.4.5-p1 e versioni precedenti
Tutte
Magento Open Source 2.4.4-p2 e versioni precedenti
Tutte
2.4.5-p1 e versioni precedenti 
Tutte

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.

 

Prodotto Versione aggiornata Piattaforma Livello di priorità Istruzioni per l’installazione
Adobe Commerce
2.4.6, 2.4.5-p2, 2.4.4-p3
Tutte
3 Note sulla versione 2.4.x
Magento Open Source 
2.4.6, 2.4.5-p2, 2.4.4-p3
Tutte
3

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Autenticazione obbligatoria per l'utilizzo? L'utilizzo richiede i privilegi di amministratore?
Punteggio base CVSS
Vettore CVSS
Codice/i CVE
XML Injection (detta anche Blind XPath Injection) (CWE-91)
Lettura di file system arbitraria
Critica No No 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CVE-2023-22247
Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79)
Esecuzione di codice arbitrario
Importante 4.8 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
CVE-2023-22249
Controllo di accesso non corretto (CWE-284)
Aggiramento della funzione di sicurezza
Importante No No 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
CVE-2023-22250
Autorizzazione impropria (CWE-285)
Aggiramento della funzione di sicurezza
Moderata No No 3.1 CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
CVE-2023-22251

 

Nota:

È richiesta l'autenticazione per l'utilizzo: la vulnerabilità è (o non è) sfruttabile senza credenziali.


L'utilizzo richiede privilegi di amministrazione: la vulnerabilità è (o non è) sfruttabile solo da un aggressore con privilegi di amministratore.

Ringraziamenti

Adobe desidera ringraziare i ricercatori seguenti per la segnalazione del problema e la collaborazione alla protezione dei clienti:

  • Ricardo Iramar dos Santos -- CVE-2023-22247
  • linoskoczek (linoskoczek) -- CVE-2023-22249
  • wash0ut (wash0ut) -- CVE-2023-22250
  • Theis Corfixen (corfixen) -- CVE-2023-22251

Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un'e-mail a PSIRT@adobe.com.

 Adobe

Ottieni supporto in modo più facile e veloce

Nuovo utente?

Adobe MAX 2024

Adobe MAX
La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX

La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX 2024

Adobe MAX
La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX

La conferenza sulla creatività

14-16 ottobre Miami Beach e online