Tiedotteen tunnus
Päivitetty viimeksi
28. maaliskuuta 2023
Adobe Commercen tietoturvapäivitys | APSB23-17
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB23-17 |
14. maaliskuuta 2023 |
3 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Commercea ja Magento Open Sourcea varten. Tämä päivitys ratkaisee kriittisiä, tärkeitä ja kohtalaisia haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaiseen koodin suorittamiseen, tietoturvaominaisuuksien ohitukseen ja mielivaltaiseen tiedostojärjestelmän lukuun.
Versiot
| Tuote | Versio | Ympäristö |
|---|---|---|
| Adobe Commerce |
2.4.4-p2 ja aiemmat versiot |
Kaikki |
| 2.4.5-p1 ja aiempi versio |
Kaikki |
|
| Magento Open Source | 2.4.4-p2 ja aiemmat versiot |
Kaikki |
| 2.4.5-p1 ja aiempi versio |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
| Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Asennusohjeet |
|---|---|---|---|---|
| Adobe Commerce |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Kaikki |
3 | Version 2.4.x julkaisutiedot |
| Magento Open Source |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Kaikki |
3 |
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | Vaatiiko hyödyntäminen tunnistautumista? | Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia? |
CVSS-peruspisteet |
CVSS-vektori |
CVE-numerot |
|---|---|---|---|---|---|---|---|
| XML-injektio (eli Blind XPath -injektio) (CWE-91) |
Mielivaltainen tiedostojärjestelmän luku |
Kriittinen | Ei | Ei | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22247 |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä | Kyllä | Kyllä | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22249 |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Tietoturvaominaisuuden ohitus |
Tärkeä | Ei | Ei | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L |
CVE-2023-22250 |
| Virheellinen valtuutus (CWE-285) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Ei | Ei | 3.1 | CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-22251 |
Huomautus:
Hyödyntäminen edellyttää tunnistautumista: Haavoittuvuus on (tai ei ole) hyödynnettävissä ilman tunnistetietoja.
Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia: Haavoittuvuutta voi (tai ei voi) hyödyntää vain hyökkääjä, jolla on järjestelmänvalvojan oikeudet.
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita tästä ongelmasta ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Ricardo Iramar dos Santos – CVE-2023-22247
- linoskoczek (linoskoczek) – CVE-2023-22249
- wash0ut (wash0ut) – CVE-2023-22250
- Theis Corfixen (corfixen) – CVE-2023-22251
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
