Boletín de seguridad de Adobe

Actualización de seguridad disponible para Adobe Commerce | APSB23-50

ID del boletín

Fecha de publicación

Prioridad

APSB23-50

10 de octubre de 2023

3

Resumen

Adobe ha publicado una actualización de seguridad para Adobe Commerce y Magento Open Source. Esta actualización soluciona vulnerabilidades críticas e importantes.  Esta vulnerabilidad podría dar lugar a la ejecución arbitraria del código, la ampliación de privilegios, la lectura arbitraria del sistema de archivos, la omisión de funciones de seguridad y la denegación de servicio de la aplicación.

Versiones afectadas

Producto Versión Plataforma
 Adobe Commerce
2.4.7-beta1 y versiones anteriores
2.4.6-p2 y versiones anteriores
2.4.5-p4 y versiones anteriores
2.4.4-p5 y versiones anteriores
2.4.3-ext-4 y versiones anteriores*
2.4.2-ext-4 y versiones anteriores*
2.4.1-ext-4 y versiones anteriores*
2.4.0-ext-4 y versiones anteriores*
2.3.7-p4-ext-4 y versiones anteriores*
Todas
Magento Open Source 2.4.7-beta1 y versiones anteriores
2.4.6-p2 y versiones anteriores
2.4.5-p4 y versiones anteriores
2.4.4-p5 y versiones anteriores
Todas

Nota: Para mayor claridad, las versiones afectadas se indican aquí para cada versión en lugar de solo las versiones más recientes.
* Estas versiones solo son aplicables a los clientes que participan en el
Programa de asistencia ampliada

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.

 

Producto Versión actualizada Plataforma Nivel de prioridad Instrucciones de instalación
Adobe Commerce

2.4.7-beta2 para 2.4.7-beta1 y versiones anteriores
2.4.6-p3 para 2.4.6-p2 y versiones anteriores
2.4.5-p5 para 2.4.5-p4 y versiones anteriores
2.4.4-p6 para 2.4.4-p5 y versiones anteriores
2.4.3-ext-5 para 2.4.3-ext-4 y versiones anteriores*
2.4.2-ext-5 para 2.4.2-ext-4 y versiones anteriores*
2.4.1-ext-5 para 2.4.1-ext-4 y versiones anteriores*
2.4.0-ext-5 para 2.4.0-ext-4 y versiones anteriores*
2.3.7-p4-ext-5 para 2.3.7-p4-ext-4 y versiones anteriores*

Todas
3 Notas de la versión 2.4.x
Magento Open Source 

2.4.7-beta2 para 2.4.7-beta1 y versiones anteriores
2.4.6-p3 para 2.4.6-p2 y versiones anteriores
2.4.5-p5 para 2.4.5-p4 y versiones anteriores
2.4.4-p6 para 2.4.4-p5 y versiones anteriores

Todas
3
Nota: * Estas versiones solo son aplicables a los clientes que participan en el Programa de asistencia ampliada

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad ¿Se requiere autenticación para la explotación? ¿La explotación requiere privilegios de administrador?
Puntuación base CVSS
Vector CVSS
Número(s) CVE
Validación incorrecta de la entrada (CWE-20)
Ampliación de privilegios
Crítica No No 8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2023-38218
Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79)
Ampliación de privilegios
Crítica 8.4 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H
CVE-2023-38219
Autorización incorrecta (CWE-285)
Omisión de la función de seguridad
Crítica No 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CVE-2023-38220
Neutralización incorrecta de elementos especiales utilizados en un comando SQL ("Inyección de código SQL") (CWE-89)
Ejecución de código arbitraria
Crítica 8.0 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
CVE-2023-38221
Neutralización incorrecta de elementos especiales utilizados en un comando SQL ("Inyección de código SQL") (CWE-89)
Ejecución de código arbitraria
Crítica 8.0 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
CVE-2023-38249
Neutralización incorrecta de elementos especiales utilizados en un comando SQL ("Inyección de código SQL") (CWE-89)
Ejecución de código arbitraria
Crítica 8.0 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
CVE-2023-38250
Exposición de información (CWE-200)
Ejecución de código arbitraria
Crítica
7.6 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:L
CVE-2023-26367
Consumo de recursos no controlado (CWE-400)
Denegación de servicio de la aplicación
Importante No No 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
CVE-2023-38251
Falsificación de solicitud del servidor (SSRF) (CWE-918)
Lectura arbitraria del sistema de archivos
Importante
6.8 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N
CVE-2023-26366

Actualizaciones de dependencias

CVE Dependencia
Impacto de la vulnerabilidad
Versiones afectadas
CVE-2021-41182
jQuery
Ejecución arbitraria de código

Adobe Commerce 2.4.6-p2, 2.4.5-p4, 2.4.4-p5, 2.4.7-beta1 y anteriores

Nota:

Autenticación necesaria para explotación: La vulnerabilidad se puede (o no se puede) explotar sin credenciales.


La explotación requiere privilegios de administrador:  La vulnerabilidad la puede explotar (o no) un atacante con provilegios de administrador.

Reconocimientos

Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:

  • wohlie - CVE-2023-38220, CVE-2023-38221, CVE-2023-38249, CVE-2023-38250, CVE-2023-38251, CVE-2023-26367
  • Blaklis - CVE-2023-38219
  • fqdn - CVE-2023-38218
  • Sebastien Cantos (truff) - CVE-2023-26366

NOTA: Adobe tiene un programa privado de detección de errores con HackerOne (solo con invitación). Si le interesa trabajar con Adobe como investigador de seguridad externo, rellene este formulario para los siguientes pasos.

Revisiones

13 de octubre de 2023: se elimina CVE-2023-26368 ya que es una dependencia de jQuery de terceros. 


Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea