Bulletin-ID
Zuletzt aktualisiert am
10. April 2023
Sicherheits-Update für Adobe Commerce verfügbar | APSB23-17
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB23-17 |
14. März 2023 |
3 |
Zusammenfassung
Adobe hat ein Sicherheitsupdate für Adobe Commerce und Magento Open Source veröffentlicht. Dieses Update behebt mehrere kritische, wichtige und moderate Schwachstellen. Eine erfolgreiche Nutzung könnte zur Ausführung von beliebigem Code, zur Umgehung von Sicherheitsfunktionen und zum Lesen beliebiger Dateisysteme führen.
Betroffene Versionen
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Commerce |
2.4.4-p2 und frühere Versionen |
Alle |
| 2.4.5-p1 und frühere Versionen |
Alle |
|
| Magento Open Source | 2.4.4-p2 und frühere Versionen |
Alle |
| 2.4.5-p1 und frühere Versionen |
Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
| Produkt | Aktualisierte Version | Plattform | Priorität | Installationsanweisungen |
|---|---|---|---|---|
| Adobe Commerce |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Alle |
3 | 2.4.x – Versionshinweise |
| Magento Open Source |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Alle |
3 |
Sicherheitslückendetails
| Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | Exploit erfordert Authentifizierung? | Exploit erfordert Admin-Rechte? |
CVSS-Basispunktzahl |
CVSS-Vektor |
CVE-Nummern(n) |
|---|---|---|---|---|---|---|---|
| XML-Injektion (auch Blind XPath-Injektion) (CWE-91) |
Willkürlicher Dateisystem-Lesezugriff |
Kritisch | Nein | Nein | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22247 |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22249 |
| Unzulässige Zugriffskontrolle (CWE-284) |
Umgehung der Sicherheitsfunktionen |
Wichtig | Nein | Nein | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2023-22250 |
| Unzulässige Autorisierung (CWE-285) |
Umgehung der Sicherheitsfunktionen |
Mittel | Nein | Nein | 3.1 | CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-22251 |
Hinweis:
Zum Ausnutzen ist eine Authentifizierung erforderlich: Die Schwachstelle kann ohne Anmeldeinformationen ausgenutzt werden (bzw. nicht ausgenutzt werden).
Erfordert Administratorrechte: Die Schwachstelle ist (oder ist nicht) nur von einem Angreifer mit Administratorrechten ausnutzbar.
Danksagung
Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und für die Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden:
- Ricardo Iramar dos Santos -- CVE-2023-22247
- linoskoczek (linoskoczek) -- CVE-2023-22249
- wash0ut (wash0ut) -- CVE-2023-22250
- Theis Corfixen (corfixen) -- CVE-2023-22251
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.
