Bulletin-ID
Sidst opdateret den
17. aug. 2023
Sikkerhedsopdatering er tilgængelig til Adobe Commerce | APSB23-42
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB23-42 |
8. august 2023 |
3 |
Resumé
Berørte versioner
| Produkt | Version | Platform |
|---|---|---|
| Adobe Commerce |
2.4.6-p1 og tidligere 2.4.5-p3 og tidligere 2.4.4-p4 og tidligere 2.4.3-ext-3 og tidligere* 2.4.2-ext-3 og tidligere* 2.4.1-ext-3 og tidligere* 2.4.0-ext-3 og tidligere* 2.3.7-p4-ext-3 og tidligere* |
Alle |
| Magento Open Source | 2.4.6-p1 og tidligere 2.4.5-p3 og tidligere 2.4.4-p4 og tidligere |
Alle |
Bemærk: For overskuelighedens skyld er de berørte versioner nu angivet for hver udgivelseslinje i stedet for kun de nyeste versioner.
* Disse versioner gælder kun for kunder, der deltager i det udvidede supportprogram Udvidet supportprogram
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
| Produkt | Opdateret version | Platform | Prioritetsgrad | Installationsvejledning |
|---|---|---|---|---|
| Adobe Commerce |
2.4.6-p2 for 2.4.6 og tidligere |
Alle |
3 | 2.4.x Produktbemærkninger |
| Magento Open Source |
2.4.6-p2 til 2.4.6 og tidligere 2.4.5-p4 til 2.4.5-p3 og tidligere |
Alle |
3 | |
| Bemærk: * Disse versioner gælder kun for kunder, der deltager i det udvidede supportprogram Udvidet supportprogram | ||||
Sikkerhedsoplysninger
| Sikkerhedskategori | Virkning af sikkerhedsproblem | Alvorlighed | Kræver det autentifikation at udnytte sikkerhedshullet? | Kræver det administratorrettigheder at udnytte sikkerhedshullet? |
CVSS-basisscore |
CVSS-vektor |
CVE-nummer/numre |
|---|---|---|---|---|---|---|---|
| XML-injektion (også kendt som blind XPath-injektion) (CWE-91) |
Vilkårlig filsystem-læsning |
Vigtigt | Nej | Nej | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-38207 |
| Ukorrekt neutralisering af særlige elementer, der bruges i en OS-kommando ('OS Command Injection') (CWE-78) |
Vilkårlig kodekørsel |
Kritisk | Ja | Ja | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2023-38208 |
| Ukorrekt adgangskontrol (CWE-284) |
Eskalering af rettigheder |
Vigtigt | Ja | Nej | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-38209 |
Bemærk:
Autentifikation er påkrævet for at udnytte: Sårbarheden kan (eller kan ikke) udnyttes uden legitimationsoplysninger.
Kræver administratorrettigheder: Sårbarheden kan (eller kan ikke) kun udnyttes, hvis angriberen har administratorrettigheder.
Tak til følgende personer
Adobe vil gerne takke følgende researchere at rapportere disse sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:
- wohlie - CVE-2023-38207 and CVE-2023-38209
- Blaklis - CVE-2023-38208
BEMÆRK: Adobe har et privat bug bounty-program med HackerOne, som kun er åbent for inviterede. Hvis du er interesseret i at arbejde med Adobe som ekstern sikkerhedsforsker, kan du udfylde denne formular for de næste trin.
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.
