Bulletin-ID
Sist oppdatert
26. jun. 2023
Sikkerhetsoppdatering tilgjengelig for Adobe Commerce | APSB23-35
|
|
Publiseringsdato |
Prioritet |
|---|---|---|
|
APSB23-35 |
13. juni 2023 |
3 |
Sammendrag
Berørte versjoner
| Produkt | Versjon | Plattform |
|---|---|---|
| Adobe Commerce |
2.4.6 og tidligere 2.4.5-p2 og tidligere 2.4.4-p3 og tidligere 2.4.3-ext-2 og tidligere* 2.4.2-ext-2 og tidligere* 2.4.1-ext-2 og tidligere* 2.4.0-ext-2 og tidligere* 2.3.7-p4-ext-2 og tidligere* |
Alle |
| Magento Open Source | 2.4.6 og tidligere 2.4.5-p2 og tidligere 2.4.4-p3 og tidligere |
Alle |
Merk: Vi understreker at de alle berørte versjoner nå er oppført for hver utgivelseslinje i stedet for bare de nyeste versjonene.
* Disse versjonene gjelder kun for kunder som deltar i Extended Support Program
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
| Produkt | Oppdatert versjon | Plattform | Prioritetsklassifisering | Installasjonsinstruksjoner |
|---|---|---|---|---|
| Adobe Commerce |
2.4.6-p1 for 2.4.6 og tidligere 2.4.4-p4 for 2.4.4-p3 og tidligere |
Alle |
3 | 2.4.x utgivelsesmerknader |
| Magento Open Source |
2.4.6-p1 for 2.4.6 og tidligere 2.4.5-p3 for 2.4.5-p2 og tidligere 2.4.4-p4 for 2.4.4-p3 og tidligere |
Alle |
3 | |
| Merk: * Disse versjonene gjelder kun for kunder som deltar i Extended Support Program | ||||
Informasjon om sikkerhetsproblemet
| Sikkerhetsproblemkategori | Sikkerhetsprobleminnvirkning | Alvorlighetsgrad | Er godkjenning nødvendig for å bruke produktet? | Krever bruk administratorrettigheter? |
CVSS-grunnscore |
CVSS-vektor |
CVE-nummer/-numre |
|---|---|---|---|---|---|---|---|
| Informasjonseksponering (CWE-200) |
Omgåelse av sikkerhetsfunksjon |
Viktig | No | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-29287 |
| Feil autorisasjon (CWE-863) |
Omgåelse av sikkerhetsfunksjon |
Moderat | Ja | No | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2023-29288 |
| XML Injection (aka Blind XPath Injection) (CWE-91) |
Omgåelse av sikkerhetsfunksjon |
Viktig | Ja | Ja | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29289 |
| Mangler støtte for itegritetskontroll (CWE-353) |
Omgåelse av sikkerhetsfunksjon |
Viktig | No | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
CVE-2023-29290 |
| Forfalskning av forespørsel på serverside (SSRF) (CWE-918) |
Omgåelse av sikkerhetsfunksjon |
Viktig | Ja | Ja | 4.9 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29291 |
| Forfalskning av forespørsel på serverside (SSRF) (CWE-918) |
Vilkårlig lesing av filsystem |
Viktig | Ja | Ja | 4.9 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29292 |
| Feil inndatavalidering (CWE-20) |
Omgåelse av sikkerhetsfunksjon |
Moderat | Ja | Ja | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L |
CVE-2023-29293 |
| Forretningslogikkfeil (CWE-840) |
Omgåelse av sikkerhetsfunksjon |
Moderat | Ja | No | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2023-29294 |
| Feil autorisasjon (CWE-863) |
Omgåelse av sikkerhetsfunksjon |
Moderat |
Ja | No | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2023-29295 |
| Feil autorisasjon (CWE-863) |
Omgåelse av sikkerhetsfunksjon |
Moderat | Ja | No | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
CVE-2023-29296 |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Kritisk | Ja | Ja | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2023-29297 |
| Feil autorisasjon (CWE-863) |
Omgåelse av sikkerhetsfunksjon |
Kritisk |
No | No | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22248 |
Merk:
Autentisering kreves for utnyttelse: Sikkerhetsproblemet kan være mulig eller umulig å utnytte uten legitimasjon.
Utnyttelse krever administratorrettigheter: Sikkerhetsproblemet kan være mulig eller umulig å utnyttes av en angriper med administratorrettigheter.
Anerkjennelser
Adobe takker følgende forskere at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:
- Aliefis Galih (aliefis) - CVE-2023-29289, CVE-2023-29294, CVE-2023-29295
- Sebastien Cantos (truff) - CVE-2023-29291, CVE-2023-29292
- Pieter Zandbergen (pmzandbergen) - CVE-2023-29290
- Tomasz Gregorczyk (silpion) - CVE-2023-29293
- Blaklis (blaklis) - CVE-2023-29297
- Kunal Pandey (kunal94) - CVE-2023-22248
MERK: Adobe har et privat, valgfritt bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, vennligst fyll ut dette skjemaet for å gå videre.
Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-post til PSIRT@adobe.com.
