Bulletin-ID
Zuletzt aktualisiert am
23. Oktober 2023
Sicherheits-Update für Adobe Commerce verfügbar | APSB23-50
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB23-50 |
10. Oktober 2023 |
3 |
Zusammenfassung
Adobe hat ein Sicherheitsupdate für Adobe Commerce und Magento Open Source veröffentlicht. Diese Update behebt kritische und wichtige Sicherheitslücken. Eine erfolgreiche Nutzung könnte zur Ausführung von beliebigem Code, zur Umgehung von Sicherheitsfunktionen und zum Lesen beliebiger Dateisysteme führen.
Betroffene Versionen
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Commerce |
2.4.7-beta1 und früher 2.4.6-p2 und früher 2.4.5-p4 und früher 2.4.4-p5 und früher 2.4.3-ext-4 und früher* 2.4.2-ext-4 und früher* 2.4.1-ext-4 und früher* 2.4.0-ext-4 und früher* 2.3.7-p4-ext-4 und früher* |
Alle |
| Magento Open Source | 2.4.7-beta1 und früher 2.4.6-p2 und früher 2.4.5-p4 und früher 2.4.4-p5 und früher |
Alle |
Hinweis: Aus Gründen der Übersichtlichkeit werden die betroffenen Versionen nun für jede Versionslinie aufgelistet und nicht mehr nur die neuesten Versionen.
* Diese Versionen gelten nur für Kunden, die am Erweitertes Support-Programm teilnehmen
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
| Produkt | Aktualisierte Version | Plattform | Priorität | Installationsanweisungen |
|---|---|---|---|---|
| Adobe Commerce |
2.4.7-beta2 for 2.4.7-beta1 und früher |
Alle |
3 | 2.4.x – Versionshinweise |
| Magento Open Source |
2.4.7-beta2 for 2.4.7-beta1 und früher |
Alle |
3 | |
| Hinweis: * Diese Versionen gelten nur für Kunden, die am erweiterten Support-Programm teilnehmen | ||||
Sicherheitslückendetails
| Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | Exploit erfordert Authentifizierung? | Exploit erfordert Admin-Rechte? |
CVSS-Basispunktzahl |
CVSS-Vektor |
CVE-Nummern(n) |
|---|---|---|---|---|---|---|---|
| Unangemessene Eingabevalidierung (CWE-20) |
Berechtigungsausweitung |
Kritisch | Nein | Nein | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-38218 |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) |
Berechtigungsausweitung |
Kritisch | Ja | Ja | 8.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
CVE-2023-38219 |
| Unzulässige Autorisierung (CWE-285) |
Umgehung der Sicherheitsfunktionen |
Kritisch | Ja | Nein | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-38220 |
| Unsachgemäße Neutralisierung spezieller Elemente, die in einem SQL-Befehl verwendet werden ('SQL Injection') (CWE-89) |
Willkürliche Ausführung von Code |
Kritisch | Ja | Ja | 8.0 | CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2023-38221 |
| Unsachgemäße Neutralisierung spezieller Elemente, die in einem SQL-Befehl verwendet werden ('SQL Injection') (CWE-89) |
Willkürliche Ausführung von Code |
Kritisch | Ja | Ja | 8.0 | CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2023-38249 |
| Unsachgemäße Neutralisierung spezieller Elemente, die in einem SQL-Befehl verwendet werden ('SQL Injection') (CWE-89) |
Willkürliche Ausführung von Code |
Kritisch | Ja | Ja | 8.0 | CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2023-38250 |
| Informationsexposition (CWE-200) |
Willkürliche Ausführung von Code |
Kritisch |
Ja | Ja | 7.6 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:L |
CVE-2023-26367 |
| Unkontrollierter Ressourcenverbrauch (CWE-400) |
Anwendungsabsturz |
Wichtig | Nein | Nein | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2023-38251 |
| Server-Side Request Forgery (SSRF) (CWE-918) |
Willkürlicher Dateisystem-Lesezugriff |
Wichtig |
Ja | Ja | 6.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2023-26366 |
Updates für Abhängigkeiten
| CVE | Abhängigkeit |
Sicherheitslückenauswirkung |
Betroffene Versionen |
| CVE-2021-41182 |
jQuery |
Willkürliche Ausführung von Code |
Adobe Commerce 2.4.6-p2, 2.4.5-p4, 2.4.4-p5, 2.4.7-beta1 und früher |
Hinweis:
Zum Ausnutzen ist eine Authentifizierung erforderlich: Die Schwachstelle kann ohne Anmeldeinformationen ausgenutzt werden (bzw. nicht ausgenutzt werden).
Erfordert Administratorrechte: Die Schwachstelle ist (oder ist nicht) nur von einem Angreifer mit Administratorrechten ausnutzbar.
Danksagung
Adobe bedankt sich bei den folgenden Forschern, die diese Probleme gemeldet haben und mit Adobe zusammenarbeiten, um unsere Kunden zu schützen:
- wohlie - CVE-2023-38220, CVE-2023-38221, CVE-2023-38249, CVE-2023-38250, CVE-2023-38251, CVE-2023-26367
- Blaklis - CVE-2023-38219
- fqdn - CVE-2023-38218
- Sebastien Cantos (truff) - CVE-2023-26366
HINWEIS: Adobe hat ein privates, nur für Einladungen bestimmtes Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, füllen Sie bitte dieses Formular aus, um die nächsten Schritte einzuleiten.
Überarbeitungen
13. Oktober 2023: CVE-2023-26368 entfernt, da es sich um eine jQuery-Abhängigkeit von Drittanbietern handelt.
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.
