Bulletin-ID
Sikkerhetsoppdatering tilgjengelig for Adobe Commerce | APSB23-42
|
Publiseringsdato |
Prioritet |
---|---|---|
APSB23-42 |
8. august 2023 |
3 |
Sammendrag
Berørte versjoner
Produkt | Versjon | Plattform |
---|---|---|
Adobe Commerce |
2.4.6-p1 og tidligere 2.4.5-p3 og tidligere 2.4.4-p4 og tidligere 2.4.3-ext-3 og tidligere* 2.4.2-ext-3 og tidligere* 2.4.1-ext-3 og tidligere* 2.4.0-ext-3 og tidligere* 2.3.7-p4-ext-3 og tidligere* |
Alle |
Magento Open Source | 2.4.6-p1 og tidligere 2.4.5-p3 og tidligere 2.4.4-p4 og tidligere |
Alle |
Merk: Vi understreker at de alle berørte versjoner nå er oppført for hver utgivelseslinje i stedet for bare de nyeste versjonene.
* Disse versjonene gjelder kun for kunder som deltar i Extended Support Program
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
Produkt | Oppdatert versjon | Plattform | Prioritetsklassifisering | Installasjonsinstruksjoner |
---|---|---|---|---|
Adobe Commerce |
2.4.6-p2 for 2.4.6 og tidligere |
Alle |
3 | 2.4.x utgivelsesmerknader |
Magento Open Source |
2.4.6-p2 for 2.4.6 og tidligere 2.4.5-p4 for 2.4.5-p3 og tidligere |
Alle |
3 | |
Merk: * Disse versjonene gjelder kun for kunder som deltar i Extended Support Program |
Informasjon om sikkerhetsproblemet
Sikkerhetsproblemkategori | Sikkerhetsprobleminnvirkning | Alvorlighetsgrad | Er godkjenning nødvendig for å bruke produktet? | Krever bruk administratorrettigheter? |
CVSS-grunnscore |
CVSS-vektor |
CVE-nummer/-numre |
---|---|---|---|---|---|---|---|
XML Injection (aka Blind XPath Injection) (CWE-91) |
Vilkårlig lesing av filsystem |
Viktig | No | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-38207 |
Feil nøytralisering av spesialelementer brukt i en OS-kommando ('OS-kommandoinjeksjon') (CWE-78) |
Vilkårlig kjøring av kode |
Kritisk | Ja | Ja | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2023-38208 |
Feil tilgangskontroll (CWE-284) |
Eskalering av rettigheter |
Viktig | Ja | No | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-38209 |
Autentisering kreves for utnyttelse: Sikkerhetsproblemet kan være mulig eller umulig å utnytte uten legitimasjon.
Utnyttelse krever administratorrettigheter: Sikkerhetsproblemet kan være mulig eller umulig å utnyttes av en angriper med administratorrettigheter.
Anerkjennelser
Adobe takker følgende forskere at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:
- wohlie - CVE-2023-38207 og CVE-2023-38209
- Blaklis - CVE-2023-38208
MERK: Adobe har et privat, valgfritt bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, vennligst fyll ut dette skjemaet for å gå videre.
Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-post til PSIRT@adobe.com.