Bulletin-ID
Sist oppdatert
28. mar. 2023
Sikkerhetsoppdatering tilgjengelig for Adobe Commerce | APSB23-17
|
|
Publiseringsdato |
Prioritet |
|---|---|---|
|
APSB23-17 |
14. mars 2023 |
3 |
Sammendrag
Berørte versjoner
| Produkt | Versjon | Plattform |
|---|---|---|
| Adobe Commerce |
Versjon 2.4.4-p2 og tidligere |
Alle |
| Versjon 2.4.5-p1 og tidligere |
Alle |
|
| Magento Open Source | Versjon 2.4.4-p2 og tidligere |
Alle |
| Versjon 2.4.5-p1 og tidligere |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
| Produkt | Oppdatert versjon | Plattform | Prioritetsklassifisering | Installasjonsinstruksjoner |
|---|---|---|---|---|
| Adobe Commerce |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Alle |
3 | 2.4.x utgivelsesmerknader |
| Magento Open Source |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Alle |
3 |
Informasjon om sikkerhetsproblemet
| Sikkerhetsproblemkategori | Sikkerhetsprobleminnvirkning | Alvorlighetsgrad | Er godkjenning nødvendig for å bruke produktet? | Krever bruk administratorrettigheter? |
CVSS-grunnscore |
CVSS-vektor |
CVE-nummer/-numre |
|---|---|---|---|---|---|---|---|
| XML Injection (aka Blind XPath Injection) (CWE-91) |
Vilkårlig lesing av filsystem |
Kritisk | No | No | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22247 |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22249 |
| Feil tilgangskontroll (CWE-284) |
Omgåelse av sikkerhetsfunksjon |
Viktig | No | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2023-22250 |
| Upassende autorisasjon (CWE-285) |
Omgåelse av sikkerhetsfunksjon |
Moderat | No | No | 3.1 | CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-22251 |
Merk:
Autentisering kreves for utnyttelse: Sikkerhetsproblemet kan være mulig eller umulig å utnytte uten legitimasjon.
Utnyttelse krever administratorrettigheter: Sikkerhetsproblemet kan være mulig eller umulig å utnyttes av en angriper med administratorrettigheter.
Anerkjennelser
Adobe takker følgende forskere for at de har rapportert disse problemene, og for at de samarbeider med Adobe så vi kan beskytte kundene våre bedre:
- Ricardo Iramar dos Santos – CVE-2023-22247
- linoskoczek (linoskoczek) – CVE-2023-22249
- wash0ut (wash0ut) – CVE-2023-22250
- Theis Corfixen (corfixen) – CVE-2023-22251
Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-post til PSIRT@adobe.com.
