Bulletin de sécurité Adobe

Mise à jour de sécurité disponible pour Adobe Commerce | APSB23-50

Référence du bulletin

Date de publication

Priorité 

APSB23-50

10 octobre 2023

3

Récapitulatif

Adobe a publié une mise à jour de sécurité pour Adobe Commerce et Magento Open Source. Cette mise à jour corrige des vulnérabilités critiques et importantes.   Une exploitation réussie pourrait entraîner l’exécution de code arbitraire, la réaffectation de privilèges, une lecture arbitraire dans le système de fichiers, le contournement des fonctions de sécurité et un déni de service de l’application.

Versions concernées

Produit Version  Plate-forme
 Adobe Commerce
2.4.7-beta1 et versions antérieures
2.4.6-p2 et versions antérieures
2.4.5-p4 et versions antérieures
2.4.4-p5 et versions antérieures
2.4.3-ext-4 et versions antérieures*
2.4.2-ext-4 et version antérieure*
2.4.1-ext-4 et versions antérieures*
2.4.0-ext-4 et versions antérieures*
2.3.7-p4-ext-4 et versions antérieures*
Toutes
Magento Open Source 2.4.7-beta1 et versions antérieures
2.4.6-p2 et versions antérieures
2.4.5-p4 et versions antérieures
2.4.4-p5 et versions antérieures
Toutes

Remarque : par souci de clarté, les versions affectées sont désormais répertoriées pour chaque ligne de version, et non plus seulement pour les versions les plus récentes.
* Ces versions ne s’appliquent qu’aux clients participant au
Programme de support étendu

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels.

 

Produit Mise à jour Plate-forme Priorité Instructions d’installation
Adobe Commerce

2.4.7-beta2 pour 2.4.7-beta1 et versions antérieures
2.4.6-p3 pour 2.4.6-p2 et versions antérieures
2.4.5-p5 pour 2.4.5-p4 et versions antérieures
2.4.4-p6 pour 2.4.4-p5 et versions antérieures
2.4.3-ext-5 pour 2.4.3-ext-4 et versions antérieures*
2.4.2-ext-5 pour 2.4.2-ext-4 et versions antérieures*
2.4.1-ext-5 pour 2.4.1-ext-4 et versions antérieures*
2.4.0-ext-5 pour 2.4.0-ext-4 et versions antérieures*
2.3.7-p4-ext-5 pour 2.3.7-p4-ext-4 et versions antérieures*

Toutes
3 Notes de mise à jour 2.4.x
Magento Open Source 

2.4.7-beta2 pour 2.4.7-beta1 et versions antérieures
2.4.6-p3 pour 2.4.6-p2 et versions antérieures
2.4.5-p5 pour 2.4.5-p4 et versions antérieures
2.4.4-p6 pour 2.4.4-p5 et versions antérieures

Toutes
3
Remarque : * Ces versions ne s’appliquent qu’aux clients participant au Programme de support étendu

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Authentification requise pour l’exploitation ? L’exploit nécessite des droits d’administrateur ?
Score de base CVSS
Vecteur CVSS
Numéro(s) CVE
Validation d’entrée incorrecte (CWE-20)
Réaffectation de privilèges
Critique Non Non 8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2023-38218
Cross-site scripting (XSS stocké) (CWE-79)
Réaffectation de privilèges
Critique Oui Oui 8.4 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H
CVE-2023-38219
Autorisation incorrecte (CWE-285)
Contournement des fonctions de sécurité
Critique Oui Non 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CVE-2023-38220
Neutralisation incorrecte d’éléments spéciaux utilisés dans une commande SQL (injection de SQL) (CWE-89)
Exécution de code arbitraire
Critique Oui Oui 8.0 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
CVE-2023-38221
Neutralisation incorrecte d’éléments spéciaux utilisés dans une commande SQL (injection de SQL) (CWE-89)
Exécution de code arbitraire
Critique Oui Oui 8.0 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
CVE-2023-38249
Neutralisation incorrecte d’éléments spéciaux utilisés dans une commande SQL (injection de SQL) (CWE-89)
Exécution de code arbitraire
Critique Oui Oui 8.0 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
CVE-2023-38250
Exposition d’informations (CWE-200)
Exécution de code arbitraire
Critique
Oui Oui 7.6 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:L
CVE-2023-26367
Consommation incontrôlée de ressources (CWE-400)
Déni de service sur des applications
Importante Non Non 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
CVE-2023-38251
Usurpation de requête côté serveur (SSRF) (CWE-918)
Lecture arbitraire dans le système de fichiers
Importante
Oui Oui 6.8 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N
CVE-2023-26366

Mises à jour des dépendances

CVE Dépendance
Impact de la vulnérabilité
Versions concernées
CVE-2021-41182
jQuery
Exécution de code arbitraire

Adobe Commerce 2.4.6-p2, 2.4.5-p4, 2.4.4-p5, 2.4.7-beta1 et versions antérieures

Remarque :

Authentification requise pour l’exploitation : la vulnérabilité est (ou n’est pas) exploitable sans informations d’identification.


L’exploit nécessite des droits d’administrateur : la vulnérabilité est (ou n’est pas) uniquement exploitable par un attaquant disposant de droits d’administration.

Remerciements

Adobe tient à remercier les chercheurs suivants pour avoir signalé ce problème et joint leurs efforts aux nôtres pour protéger nos clients :

  • wohlie - CVE-2023-38220, CVE-2023-38221, CVE-2023-38249, CVE-2023-38250, CVE-2023-38251, CVE-2023-26367
  • Blaklis - CVE-2023-38219
  • fqdn - CVE-2023-38218
  • Sebastien Cantos (truff) - CVE-2023-26366

REMARQUE : Adobe dispose d’un programme privé de prime aux bogues, accessible sur invitation uniquement, avec HackerOne. Si vous souhaitez travailler avec Adobe en tant que chercheur en sécurité externe, remplissez ce formulaire pour les étapes suivantes.

Révisions

13 octobre 2023 : suppression de CVE-2023-26368, car il s’agit d’une dépendance jQuery tierce. 


Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?

Adobe MAX 2024

Adobe MAX
La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX

La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX 2024

Adobe MAX
La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX

La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne