ID bollettino
Aggiornamento di sicurezza disponibile per Adobe Commerce | APSB23-17
|
Data di pubblicazione |
Priorità |
---|---|---|
APSB23-17 |
14 marzo 2023 |
3 |
Riepilogo
Adobe ha rilasciato un aggiornamento della sicurezza per Adobe Commerce e Magento Open Source. Questo aggiornamento risolve vulnerabilità critiche, importanti e moderate. Lo sfruttamento efficace potrebbe portare a esecuzione di codice arbitrario, aggiramento delle funzioni di sicurezza e lettura arbitraria del file system.
Versioni interessate
Prodotto | Versione | Piattaforma |
---|---|---|
Adobe Commerce |
2.4.4-p2 e versioni precedenti |
Tutte |
2.4.5-p1 e versioni precedenti |
Tutte |
|
Magento Open Source | 2.4.4-p2 e versioni precedenti |
Tutte |
2.4.5-p1 e versioni precedenti |
Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
Prodotto | Versione aggiornata | Piattaforma | Livello di priorità | Istruzioni per l’installazione |
---|---|---|---|---|
Adobe Commerce |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Tutte |
3 | Note sulla versione 2.4.x |
Magento Open Source |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Tutte |
3 |
Dettagli della vulnerabilità
Categoria della vulnerabilità | Impatto della vulnerabilità | Gravità | Autenticazione obbligatoria per l'utilizzo? | L'utilizzo richiede i privilegi di amministratore? |
Punteggio base CVSS |
Vettore CVSS |
Codice/i CVE |
---|---|---|---|---|---|---|---|
XML Injection (detta anche Blind XPath Injection) (CWE-91) |
Lettura di file system arbitraria |
Critica | No | No | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22247 |
Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante | Sì | Sì | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22249 |
Controllo di accesso non corretto (CWE-284) |
Aggiramento della funzione di sicurezza |
Importante | No | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2023-22250 |
Autorizzazione impropria (CWE-285) |
Aggiramento della funzione di sicurezza |
Moderata | No | No | 3.1 | CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-22251 |
È richiesta l'autenticazione per l'utilizzo: la vulnerabilità è (o non è) sfruttabile senza credenziali.
L'utilizzo richiede privilegi di amministrazione: la vulnerabilità è (o non è) sfruttabile solo da un aggressore con privilegi di amministratore.
Ringraziamenti
Adobe desidera ringraziare i ricercatori seguenti per la segnalazione del problema e la collaborazione alla protezione dei clienti:
- Ricardo Iramar dos Santos -- CVE-2023-22247
- linoskoczek (linoskoczek) -- CVE-2023-22249
- wash0ut (wash0ut) -- CVE-2023-22250
- Theis Corfixen (corfixen) -- CVE-2023-22251
Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un'e-mail a PSIRT@adobe.com.