Tiedotteen tunnus
Päivitetty viimeksi
17. elokuuta 2023
Adobe Commercen tietoturvapäivitys | APSB23-42
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB23-42 |
8. elokuuta 2023 |
3 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Commercea ja Magento Open Sourcea varten. Nämä päivitykset korjaavat kriittisiä ja tärkeitä haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaiseen koodin suorittamiseen, käyttöoikeuksien laajennukseen ja mielivaltaiseen tiedostojärjestelmän lukuun.
Versiot
| Tuote | Versio | Ympäristö |
|---|---|---|
| Adobe Commerce |
2.4.6-p1 ja aiemmat versiot 2.4.5-p3 ja aiemmat versiot 2.4.4-p4 ja aiemmat versiot 2.4.3-ext-3 ja aiemmat versiot* 2.4.2-ext-3 ja aiemmat versiot* 2.4.1-ext-3 ja aiemmat versiot* 2.4.0-ext-3 ja aiemmat versiot* 2.3.7-p4-ext-3 ja aiemmat versiot* |
Kaikki |
| Magento Open Source | 2.4.6-p1 ja aiemmat versiot 2.4.5-p3 ja aiemmat versiot 2.4.4-p4 ja aiemmat versiot |
Kaikki |
Huomautus: Selkeyden vuoksi versiot, joita asia koskee, on nyt lueteltu versioittain vain uusimpien versioiden sijaan.
* Nämä versiot koskevat vain asiakkaita, jotka osallistuvat laajennettuun tukiohjelmaan
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
| Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Asennusohjeet |
|---|---|---|---|---|
| Adobe Commerce |
2.4.6-p2 versiolle 2.4.6 ja aiemmille versioille |
Kaikki |
3 | Version 2.4.x julkaisutiedot |
| Magento Open Source |
2.4.6-p2 versiolle 2.4.6 ja aiemmille versioille 2.4.5-p4 versiolle 2.4.5-p3 ja aiemmille versioille |
Kaikki |
3 | |
| Huomautus: * Nämä versiot koskevat vain asiakkaita, jotka osallistuvat laajennettuun tukiohjelmaan | ||||
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | Vaatiiko hyödyntäminen tunnistautumista? | Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia? |
CVSS-peruspisteet |
CVSS-vektori |
CVE-numerot |
|---|---|---|---|---|---|---|---|
| XML-injektio (eli Blind XPath -injektio) (CWE-91) |
Mielivaltainen tiedostojärjestelmän luku |
Tärkeä | Ei | Ei | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-38207 |
| Käyttöjärjestelmän komennossa käytettyjen erikoiselementtien virheellinen neutralointi (”Käyttöjärjestelmän komennon injektointi”) (CWE-78) |
Mielivaltaisen koodin suoritus |
Kriittinen | Kyllä | Kyllä | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2023-38208 |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Käyttöoikeuksien laajennus |
Tärkeä | Kyllä | Ei | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-38209 |
Huomautus:
Hyödyntäminen edellyttää tunnistautumista: Haavoittuvuus on (tai ei ole) hyödynnettävissä ilman tunnistetietoja.
Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia: Haavoittuvuutta voi (tai ei voi) hyödyntää vain hyökkääjä, jolla on järjestelmänvalvojan oikeudet.
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- wohlie – CVE-2023-38207 ja CVE-2023-38209
- Blaklis – CVE-2023-38208
HUOMAUTUS: Adobella on HackerOnessa yksityinen, vain kutsutuille tarkoitettu buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, täytä tämä lomake, niin saat ohjeet.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
