Bulletin-id
Laatst bijgewerkt op
10 apr. 2023
Beveiligingsupdate beschikbaar voor Adobe Commerce | APSB23-17
|
|
Publicatiedatum |
Prioriteit |
|---|---|---|
|
APSB23-17 |
14 maart 2023 |
3 |
Samenvatting
Adobe heeft een beveiligingsupdate uitgebracht voor Adobe Commerce en Magento Open Source. Deze update verhelpt kritieke, belangrijke en moderate kwetsbaarheden. Succesvolle exploitatie kan leiden tot het uitvoeren van willekeurige code, het omzeilen van beveiligingsfuncties en het lezen van willekeurige bestandssystemen.
Van toepassing op de volgende versies
| Product | Versie | Platform |
|---|---|---|
| Adobe Commerce |
2.4.4-p2 en eerdere versies |
Alles |
| 2.4.5-p1 en eerdere versie |
Alles |
|
| Magento Open Source | 2.4.4-p2 en eerdere versies |
Alles |
| 2.4.5-p1 en eerdere versie |
Alles |
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.
| Product | Bijgewerkte versie | Platform | Prioriteitsbeoordeling | Installatie-instructies |
|---|---|---|---|---|
| Adobe Commerce |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Alles |
3 | Releaseopmerkingen voor versie 2.4.x |
| Magento Open Source |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Alles |
3 |
Details van kwetsbaarheid
| Categorie van kwetsbaarheid | Impact van kwetsbaarheid | Ernst | Authentication vereist voor uitbuiting? | Beheerdersbevoegdheden nodig voor uitbuiting? |
CVSS-basisscore |
CVSS-vector |
CVE-nummer(s) |
|---|---|---|---|---|---|---|---|
| XML-injectie (ook bekend als blinde XPath-injectie) (CWE-91) |
Lezen van willekeurige bestandssystemen |
Kritiek | Nee | Nee | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22247 |
| Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22249 |
| Onjuist toegangsbeheer (CWE-284) |
Omzeiling van beveiligingsfunctie |
Belangrijk | Nee | Nee | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L |
CVE-2023-22250 |
| Onjuiste autorisatie (CWE-285) |
Omzeiling van beveiligingsfunctie |
Matig | Nee | Nee | 3.1 | CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-22251 |
Opmerking:
uthenticatie vereist: de kwetsbaarheid kan (of kan niet) worden misbruikt zonder inloggegevens.
Vereist beheerdersrechten: de kwetsbaarheid kan alleen (of kan niet) worden misbruikt door een aanvaller met beheerdersrechten.
Dankbetuigingen
Adobe bedankt de volgende onderzoekers voor het melden van dit probleem en voor de samenwerking met Adobe om onze klanten te helpen beschermen:
- Ricardo Iramar dos Santos -- CVE-2023-22247
- linoskoczek (linoskoczek) -- CVE-2023-22249
- wash0ut (wash0ut) -- CVE-2023-22250
- Theis Corfixen (corfixen) -- CVE-2023-22251
Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.
