Tiedotteen tunnus
Päivitetty viimeksi
26. kesäkuuta 2023
Adobe Commercen tietoturvapäivitys | APSB23-35
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB23-35 |
13. kesäkuuta 2023 |
3 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Commercea ja Magento Open Sourcea varten. Tämä päivitys ratkaisee kriittisiä, tärkeitä ja kohtalaisia haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaiseen koodin suorittamiseen, tietoturvaominaisuuksien ohitukseen ja mielivaltaiseen tiedostojärjestelmän lukuun.
Versiot
| Tuote | Versio | Ympäristö |
|---|---|---|
| Adobe Commerce |
2.4.6 ja aiemmat versiot 2.4.5-p2 ja aiemmat versiot 2.4.4-p3 ja aiemmat versiot 2.4.3-ext-2 ja aiemmat versiot* 2.4.2-ext-2 ja aiemmat versiot* 2.4.1-ext-2 ja aiemmat versiot* 2.4.0-ext-2 ja aiemmat versiot* 2.3.7-p4-ext-2 ja aiemmat versiot* |
Kaikki |
| Magento Open Source | 2.4.6 ja aiemmat versiot 2.4.5-p2 ja aiemmat versiot 2.4.4-p3 ja aiemmat versiot |
Kaikki |
Huomautus: Selkeyden vuoksi versiot, joita asia koskee, on nyt lueteltu versioittain vain uusimpien versioiden sijaan.
* Nämä versiot koskevat vain asiakkaita, jotka osallistuvat laajennettuun tukiohjelmaan
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
| Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Asennusohjeet |
|---|---|---|---|---|
| Adobe Commerce |
2.4.6-p1, 2.4.6 ja aiemmat versiot 2.4.4-p4, 2.4.4-p3 ja aiemmat versiot |
Kaikki |
3 | Version 2.4.x julkaisutiedot |
| Magento Open Source |
2.4.6-p1, 2.4.6 ja aiemmat versiot 2.4.5-p3, 2.4.5-p2 ja aiemmat versiot 2.4.4-p4, 2.4.4-p3 ja aiemmat versiot |
Kaikki |
3 | |
| Huomautus: * Nämä versiot koskevat vain asiakkaita, jotka osallistuvat laajennettuun tukiohjelmaan | ||||
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | Vaatiiko hyödyntäminen tunnistautumista? | Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia? |
CVSS-peruspisteet |
CVSS-vektori |
CVE-numerot |
|---|---|---|---|---|---|---|---|
| Tietojen paljastuminen (CWE-200) |
Tietoturvaominaisuuden ohitus |
Tärkeä | Ei | Ei | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-29287 |
| Virheellinen valtuutus (CWE-863) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Ei | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2023-29288 |
| XML-injektio (eli Blind XPath -injektio) (CWE-91) |
Tietoturvaominaisuuden ohitus |
Tärkeä | Kyllä | Kyllä | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29289 |
| Eheystarkistuksen tuen puute (CWE-353) |
Tietoturvaominaisuuden ohitus |
Tärkeä | Ei | Ei | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
CVE-2023-29290 |
| Palvelinpuolen pyynnön väärennös (SSRF) (CWE-918) |
Tietoturvaominaisuuden ohitus |
Tärkeä | Kyllä | Kyllä | 4.9 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29291 |
| Palvelinpuolen pyynnön väärennös (SSRF) (CWE-918) |
Mielivaltainen tiedostojärjestelmän luku |
Tärkeä | Kyllä | Kyllä | 4.9 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29292 |
| Virheellinen syötteen tarkistus (CWE-20) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Kyllä | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L |
CVE-2023-29293 |
| Liiketoimintalogiikkavirheet (CWE-840) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Ei | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2023-29294 |
| Virheellinen valtuutus (CWE-863) |
Tietoturvaominaisuuden ohitus |
Kohtalainen |
Kyllä | Ei | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2023-29295 |
| Virheellinen valtuutus (CWE-863) |
Tietoturvaominaisuuden ohitus |
Kohtalainen | Kyllä | Ei | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2023-29296 |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Kriittinen | Kyllä | Kyllä | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2023-29297 |
| Virheellinen valtuutus (CWE-863) |
Tietoturvaominaisuuden ohitus |
Kriittinen |
Ei | Ei | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22248 |
Huomautus:
Hyödyntäminen edellyttää tunnistautumista: Haavoittuvuus on (tai ei ole) hyödynnettävissä ilman tunnistetietoja.
Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia: Haavoittuvuutta voi (tai ei voi) hyödyntää vain hyökkääjä, jolla on järjestelmänvalvojan oikeudet.
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Aliefis Galih (aliefis) – CVE-2023-29289, CVE-2023-29294, CVE-2023-29295
- Sebastien Cantos (truff) – CVE-2023-29291, CVE-2023-29292
- Pieter Zandbergen (pmzandbergen) – CVE-2023-29290
- Tomasz Gregorczyk (silpion) – CVE-2023-29293
- Blaklis (blaklis) – CVE-2023-29297
- Kunal Pandey (kunal94) – CVE-2023-22248
HUOMAUTUS: Adobella on HackerOnessa yksityinen, vain kutsutuille tarkoitettu buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, täytä tämä lomake, niin saat ohjeet.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
