Bulletin de sécurité Adobe

Mise à jour de sécurité disponible pour Adobe Commerce | APSB23-35

Référence du bulletin

Date de publication

Priorité 

APSB23-35

13 juin 2023

3

Récapitulatif

Adobe a publié une mise à jour de sécurité pour Adobe Commerce et Magento Open Source. Cette mise à jour corrige des vulnérabilités critiques, importantes et modérées.  Une exploitation réussie est susceptible d’entraîner l’exécution de code arbitraire, le contournement de fonctions de sécurité et une lecture arbitraire dans le système de fichiers.

Versions concernées

Produit Version  Plate-forme
 Adobe Commerce
2.4.6 et versions antérieures
2.4.5-p2 et versions antérieures
2.4.4-p3 et versions antérieures
2.4.3-ext-2 et versions antérieures*
2.4.2-ext-2 et versions antérieures*
2.4.1-ext-2 et versions antérieures*
2.4.0-ext-2 et versions antérieures*
2.3.7-p4-ext-2 et versions antérieures*
Toutes
Magento Open Source 2.4.6 et versions antérieures
2.4.5-p2 et versions antérieures
2.4.4-p3 et versions antérieures
Toutes

Remarque : par souci de clarté, les versions affectées sont désormais répertoriées pour chaque ligne de version, et non plus seulement pour les versions les plus récentes.
* Ces versions ne s’appliquent qu’aux clients participant au
Programme de support étendu

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels.

 

Produit Mise à jour Plate-forme Priorité Instructions d’installation
Adobe Commerce

2.4.6-p1 pour 2.4.6 et versions antérieures
2.4.5-p3 pour 2.4.5-p2 et versions antérieures

2.4.4-p4 pour 2.4.4-p3 et versions antérieures 
2.4.3-ext-3 pour 2.4.3-ext-2 et versions antérieures*
2.4.2-ext-3 pour 2.4.2-ext-2 et versions antérieures* 
2.4.1-ext-3 pour 2.4.1-ext-2 et versions antérieures* 
2.4.0-ext-3 pour 2.4.0-ext-2 et versions antérieures* 
2.3.7-p4-ext-3 pour 2.3.7-p4-ext-2 et versions antérieures*

Toutes
3 Notes de mise à jour 2.4.x
Magento Open Source 
2.4.6-p1 pour 2.4.6 et versions antérieures
2.4.5-p3 pour 2.4.5-p2 et versions antérieures
2.4.4-p4 pour 2.4.4-p3 et versions antérieures
Toutes
3
Remarque : * Ces versions ne s’appliquent qu’aux clients participant au Programme de support étendu

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Authentification requise pour l’exploitation ? L’exploit nécessite des droits d’administrateur ?
Score de base CVSS
Vecteur CVSS
Numéro(s) CVE
Exposition d’informations (CWE-200)
Contournement des fonctions de sécurité
Importante Non Non 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CVE-2023-29287
Autorisation incorrecte (CWE-863)
Contournement des fonctions de sécurité
Modérée Oui Non 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2023-29288
Injection XML (ou injection XPath en aveugle) (CWE-91)
Contournement des fonctions de sécurité
Importante Oui Oui 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
CVE-2023-29289
Support manquant pour le contrôle d’intégrité (CWE-353)
Contournement des fonctions de sécurité
Importante Non Non 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
CVE-2023-29290
Usurpation de requête côté serveur (SSRF) (CWE-918)
Contournement des fonctions de sécurité
Importante Oui Oui 4.9 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
CVE-2023-29291
Usurpation de requête côté serveur (SSRF) (CWE-918)
Lecture arbitraire dans le système de fichiers
Importante Oui Oui 4.9 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
CVE-2023-29292
Validation d’entrée incorrecte (CWE-20)
Contournement des fonctions de sécurité
Modérée Oui Oui 2.7 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L
CVE-2023-29293
Erreurs logiques commerciales (CWE-840)
Contournement des fonctions de sécurité
Modérée Oui Non 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2023-29294
Autorisation incorrecte (CWE-863)
Contournement des fonctions de sécurité
Modérée
Oui Non 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2023-29295
Autorisation incorrecte (CWE-863)
Contournement des fonctions de sécurité
Modérée Oui Non 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2023-29296
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Critique  Oui Oui 9.1 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CVE-2023-29297
Autorisation incorrecte (CWE-863)
Contournement des fonctions de sécurité
Critique
Non Non 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CVE-2023-22248

 

Remarque :

Authentification requise pour l’exploitation : la vulnérabilité est (ou n’est pas) exploitable sans informations d’identification.


L’exploit nécessite des droits d’administrateur : la vulnérabilité est (ou n’est pas) uniquement exploitable par un attaquant disposant de droits d’administration.

Remerciements

Adobe tient à remercier les chercheurs suivants pour avoir signalé ce problème et joint leurs efforts aux nôtres pour protéger nos clients :

  • Aliefis Galih (aliefis)  - CVE-2023-29289, CVE-2023-29294, CVE-2023-29295
  • Sebastien Cantos (truff)  - CVE-2023-29291, CVE-2023-29292
  • Pieter Zandbergen (pmzandbergen)  - CVE-2023-29290
  • Tomasz Gregorczyk (silpion)  - CVE-2023-29293
  • Blaklis (blaklis)  - CVE-2023-29297
  • Kunal Pandey (kunal94)  - CVE-2023-22248

REMARQUE : Adobe dispose d’un programme privé de prime aux bogues, accessible sur invitation uniquement, avec HackerOne. Si vous souhaitez travailler avec Adobe en tant que chercheur en sécurité externe, remplissez ce formulaire pour les étapes suivantes.


Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?

Adobe MAX 2024

Adobe MAX
La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX

La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX 2024

Adobe MAX
La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX

La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne