ID bulletinu
Naposledy aktualizováno
28. 3. 2023
Zveřejnění aktualizace zabezpečení pro aplikaci Adobe Commerce | APSB23-17
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB23-17 |
14. března 2023 |
3 |
Shrnutí
Společnost Adobe vydala aktualizaci zabezpečení pro software Adobe Commerce a Magento Open Source. Tyto aktualizace řeší několik chyb zabezpečení označených jako kritické, důležité a středně důležité. Úspěšné zneužití této chyby by mohlo vést ke svévolnému spuštění kódu, obcházení bezpečnostních funkcí a svévolnému čtení souborového systému.
Postižené verze
| Produkt | Verze | Platforma |
|---|---|---|
| Adobe Commerce |
2.4.4-p2 a starší verze |
Vše |
| 2.4.5-p1 a starší verze |
Vše |
|
| Magento Open Source | 2.4.4-p2 a starší verze |
Vše |
| 2.4.5-p1 a starší verze |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
| Produkt | Aktualizovaná verze | Platforma | Úroveň priority | Pokyny pro instalaci |
|---|---|---|---|---|
| Adobe Commerce |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Vše |
3 | Poznámky k verzi 2.4.x |
| Magento Open Source |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Vše |
3 |
Podrobnosti o chybě zabezpečení
| Kategorie chyby zabezpečení | Dopad chyby zabezpečení | Závažnost | Je ke zneužití vyžadováno ověření? | Je ke zneužití nutné mít oprávnění správce? |
Základní hodnocení CVSS |
Vektor CVSS |
Čísla CVE |
|---|---|---|---|---|---|---|---|
| Nabourání souboru typu XML (CWE-91) |
Nahodilé čtení souborového systému |
Kritická | Ne | Ne | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22247 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | Ano | Ano | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22249 |
| Nesprávné řízení přístupu (CWE-284) |
Obcházení bezpečnostních funkcí |
Důležitá | Ne | Ne | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2023-22250 |
| Neodpovídající ověření totožnosti (CWE-285) |
Obcházení bezpečnostních funkcí |
Střední | Ne | Ne | 3.1 | CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-22251 |
Poznámka:
Ke zneužití je vyžadováno ověření: Tuto chybu může (nebo nemůže) zneužít útočník bez přihlašovacích údajů.
Vyžaduje oprávnění správce: Tuto chybu může (nebo nemůže) zneužít pouze útočník s oprávněním správce.
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:
- Ricardo Iramar dos Santos -- CVE-2023-22247
- linoskoczek (linoskoczek) -- CVE-2023-22249
- wash0ut (wash0ut) -- CVE-2023-22250
- Theis Corfixen (corfixen) -- CVE-2023-22251
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.
