Adobe sikkerhedsbulletin

Søg

Der er en sikkerhedsopdatering til Adobe Commerce | APSB23-17

Bulletin-ID

Udgivelsesdato

Prioritet

APSB23-17

14. marts 2023

3

Resumé

Adobe har frigivet en sikkerhedsopdatering til Adobe Commerce og Magento Open Source. Denne opdatering løser kritiske, vigtige og moderate sikkerhedsproblemer.  Udnyttelse kunne føre til udførelse af vilkårlig kode, omgåelse af sikkerhedsfunktioner og læsning af vilkårlige filsystemer.

Berørte versioner

Produkt Version Platform
 Adobe Commerce
 2.4.4-p2 og tidligere versioner 
 Alle
2.4.5-p1 og tidligere versioner
 Alle
Magento Open Source 2.4.4-p2 og tidligere versioner
 Alle
2.4.5-p1 og tidligere versioner 
 Alle

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.

 

Produkt Opdateret version Platform Prioritetsgrad Installationsvejledning
Adobe Commerce
 2.4.6, 2.4.5-p2, 2.4.4-p3
 Alle
 3 2.4.x Produktbemærkninger
Magento Open Source 
 2.4.6, 2.4.5-p2, 2.4.4-p3
 Alle
 3

Sikkerhedsoplysninger

Sikkerhedskategori Virkning af sikkerhedsproblem Alvorlighed Kræver det autentifikation at udnytte sikkerhedshullet? Kræver det administratorrettigheder at udnytte sikkerhedshullet?
 CVSS-basisscore
 CVSS-vektor
 CVE-nummer/numre
XML-injektion (også kendt som blind XPath-injektion) (CWE-91)
 Vilkårlig filsystem-læsning
 Kritisk Nej Nej 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
 CVE-2023-22247
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtig Ja Ja 4.8 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
 CVE-2023-22249
Ukorrekt adgangskontrol (CWE-284)
 Sikkerhedsomgåelse
 Vigtigt Nej Nej 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
 CVE-2023-22250
Ukorrekt autorisation (CWE-285)
 Sikkerhedsomgåelse
 Moderat Nej Nej 3.1 CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
 CVE-2023-22251

 

Bemærk:

Autentifikation er påkrævet for at udnytte: Sårbarheden kan (eller kan ikke) udnyttes uden legitimationsoplysninger.


Kræver administratorrettigheder: Sårbarheden kan (eller kan ikke) kun udnyttes, hvis angriberen har administratorrettigheder.

Tak til følgende personer

Adobe vil gerne takke følgende researchere at rapportere dette sikkerhedsproblem og for at samarbejde med Adobe for at beskytte vores kunder:

  • Ricardo Iramar dos Santos -- CVE-2023-22247
  • linoskoczek (linoskoczek) -- CVE-2023-22249
  • wash0ut (wash0ut) -- CVE-2023-22250
  • Theis Corfixen (corfixen) -- CVE-2023-22251

Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.

Få hjælp hurtigere og nemmere

Ny bruger?

Hurtige links

Se alle dine planer Administrer dine planer
Se hurtige links
Skjul hurtige links