Bulletin de sécurité Adobe

Mise à jour de sécurité disponible pour Adobe Commerce | APSB23-17

Référence du bulletin

Date de publication

Priorité 

APSB23-17

14 mars 2023

3

Récapitulatif

Adobe a publié une mise à jour de sécurité pour Adobe Commerce et Magento Open Source. Cette mise à jour corrige des vulnérabilités critiques, importantes et modérées.  Une exploitation réussie est susceptible d’entraîner l’exécution de code arbitraire, le contournement de fonctions de sécurité et une lecture arbitraire dans le système de fichiers.

Versions concernées

Produit Version  Plate-forme
 Adobe Commerce
2.4.4-p2 et versions antérieures 
Toutes
2.4.5-p1 et versions antérieures
Toutes
Magento Open Source 2.4.4-p2 et versions antérieures
Toutes
2.4.5-p1 et versions antérieures 
Toutes

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels.

 

Produit Mise à jour Plate-forme Priorité Instructions d’installation
Adobe Commerce
2.4.6, 2.4.5-p2, 2.4.4-p3
Toutes
3 Notes de mise à jour 2.4.x
Magento Open Source 
2.4.6, 2.4.5-p2, 2.4.4-p3
Toutes
3

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Authentification requise pour l’exploitation ? L’exploit nécessite des droits d’administrateur ?
Score de base CVSS
Vecteur CVSS
Numéro(s) CVE
Injection XML (ou injection XPath en aveugle) (CWE-91)
Lecture arbitraire dans le système de fichiers
Critique Non Non 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CVE-2023-22247
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante Oui Oui 4.8 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
CVE-2023-22249
Contrôle d’accès incorrect (CWE-284)
Contournement des fonctions de sécurité
Importante Non Non 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
CVE-2023-22250
Autorisation incorrecte (CWE-285)
Contournement des fonctions de sécurité
Modérée Non Non 3.1 CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
CVE-2023-22251

 

Remarque :

Authentification requise pour l’exploitation : la vulnérabilité est (ou n’est pas) exploitable sans informations d’identification.


L’exploit nécessite des droits d’administrateur : la vulnérabilité est (ou n’est pas) uniquement exploitable par un attaquant disposant de droits d’administration.

Remerciements

Adobe tient à remercier les chercheurs suivants pour avoir signalé ce problème et joint leurs efforts aux nôtres pour protéger nos clients :

  • Ricardo Iramar dos Santos -- CVE-2023-22247
  • linoskoczek (linoskoczek) -- CVE-2023-22249
  • wash0ut (wash0ut) -- CVE-2023-22250
  • Theis Corfixen (corfixen) -- CVE-2023-22251

Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?