ID del boletín
Última actualización el
10-04-2023
Actualización de seguridad disponible para Adobe Commerce | APSB23-17
|
|
Fecha de publicación |
Prioridad |
|---|---|---|
|
APSB23-17 |
14 de marzo de 2023 |
3 |
Resumen
Adobe ha publicado una actualización de seguridad para Adobe Commerce y Magento Open Source. Esta actualización soluciona vulnerabilidades críticas, importantes y moderadas. Su explotación podría dar lugar a la ejecución de código arbitrario, la omisión de la función de seguridad y la lectura arbitraria del sistema de archivos.
Versiones afectadas
| Producto | Versión | Plataforma |
|---|---|---|
| Adobe Commerce |
2.4.4-p2 y versiones anteriores |
Todas |
| 2.4.5-p1 y versión anterior |
Todas |
|
| Magento Open Source | 2.4.4-p2 y versiones anteriores |
Todas |
| 2.4.5-p1 y versión anterior |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.
| Producto | Versión actualizada | Plataforma | Nivel de prioridad | Instrucciones de instalación |
|---|---|---|---|---|
| Adobe Commerce |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Todas |
3 | Notas de la versión 2.4.x |
| Magento Open Source |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Todas |
3 |
Detalles sobre la vulnerabilidad
| Categoría de vulnerabilidad | Impacto de la vulnerabilidad | Gravedad | ¿Se requiere autenticación para la explotación? | ¿La explotación requiere privilegios de administrador? |
Puntuación base CVSS |
Vector CVSS |
Número(s) CVE |
|---|---|---|---|---|---|---|---|
| Inyección XML (también conocida como inyección XPath ciega) (CWE-91) |
Lectura arbitraria del sistema de archivos |
Crítica | No | No | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22247 |
| Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) |
Ejecución de código arbitraria |
Importante | Sí | Sí | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22249 |
| Control de acceso incorrecto (CWE-284) |
Omisión de la función de seguridad |
Importante | No | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2023-22250 |
| Autorización incorrecta (CWE-285) |
Omisión de la función de seguridad |
Moderada | No | No | 3.1 | CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-22251 |
Nota:
Autenticación necesaria para explotación: La vulnerabilidad se puede (o no se puede) explotar sin credenciales.
La explotación requiere privilegios de administrador: La vulnerabilidad la puede explotar (o no) un atacante con provilegios de administrador.
Reconocimientos
Adobe desea dar las gracias a los siguientes investigadores por informar sobre este problema y por colaborar con Adobe para ayudarnos a proteger a nuestros clientes:
- Ricardo Iramar dos Santos -- CVE-2023-22247
- linoskoczek (linoskoczek) -- CVE-2023-22249
- wash0ut (wash0ut) -- CVE-2023-22250
- Theis Corfixen (corfixen) -- CVE-2023-22251
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.
