Adobe – sikkerhetsbulletin

Sikkerhetsoppdatering tilgjengelig for Adobe Commerce | APSB23-42

Bulletin-ID

Publiseringsdato

Prioritet

APSB23-42

8. august 2023

3

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Commerce og Magento Open Source. Denne oppdateringen løser kritiske og viktige sikkerhetsproblemer.  Vellykket utnyttelse kan forårsake kjøring av tilfeldig kode, eskalering av rettigheter og lesing av tilfeldig filsystem.

Berørte versjoner

Produkt Versjon Plattform
 Adobe Commerce
2.4.6-p1 og tidligere
2.4.5-p3 og tidligere
2.4.4-p4 og tidligere
2.4.3-ext-3 og tidligere*
2.4.2-ext-3 og tidligere*
2.4.1-ext-3 og tidligere*
2.4.0-ext-3 og tidligere*
2.3.7-p4-ext-3 og tidligere*
Alle
Magento Open Source 2.4.6-p1 og tidligere
2.4.5-p3 og tidligere
2.4.4-p4 og tidligere
Alle

Merk: Vi understreker at de alle berørte versjoner nå er oppført for hver utgivelseslinje i stedet for bare de nyeste versjonene.
* Disse versjonene gjelder kun for kunder som deltar i
Extended Support Program

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.

 

Produkt Oppdatert versjon Plattform Prioritetsklassifisering Installasjonsinstruksjoner
Adobe Commerce

2.4.6-p2 for 2.4.6 og tidligere
2.4.5-p4 for 2.4.5-p3 og tidligere
2.4.4-p5 for 2.4.4-p3 og tidligere
2.4.3-ext-4 for 2.4.3-ext-2 og tidligere*
2.4.2-ext-4 for 2.4.2-ext-2 og tidligere*
2.4.1-ext-4 for 2.4.1-ext-2 og tidligere*
2.4.0-ext-4 for 2.4.0-ext-2 og tidligere*
2.3.7-p4-ext-4 for 2.3.7-p4-ext-2 og tidligere*

Alle
3 2.4.x utgivelsesmerknader
Magento Open Source 

2.4.6-p2 for 2.4.6 og tidligere

2.4.5-p4 for 2.4.5-p3 og tidligere
2.4.4-p5 for 2.4.4-p3 og tidligere

Alle
3
Merk: * Disse versjonene gjelder kun for kunder som deltar i Extended Support Program

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad Er godkjenning nødvendig for å bruke produktet? Krever bruk administratorrettigheter?
CVSS-grunnscore
CVSS-vektor
CVE-nummer/-numre
XML Injection (aka Blind XPath Injection) (CWE-91)
Vilkårlig lesing av filsystem
Viktig No No 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CVE-2023-38207
Feil nøytralisering av spesialelementer brukt i en OS-kommando ('OS-kommandoinjeksjon') (CWE-78)
Vilkårlig kjøring av kode
Kritisk Ja Ja 9.1 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CVE-2023-38208
Feil tilgangskontroll (CWE-284)
Eskalering av rettigheter
Viktig Ja No 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
CVE-2023-38209

 

Merk:

Autentisering kreves for utnyttelse: Sikkerhetsproblemet kan være mulig eller umulig å utnytte uten legitimasjon.


Utnyttelse krever administratorrettigheter: Sikkerhetsproblemet kan være mulig eller umulig å utnyttes av en angriper med administratorrettigheter.

Anerkjennelser

Adobe takker følgende forskere  at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:

  • wohlie - CVE-2023-38207 og CVE-2023-38209
  • Blaklis - CVE-2023-38208

MERK: Adobe har et privat, valgfritt bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, vennligst fyll ut dette skjemaet for å gå videre.


Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-post til PSIRT@adobe.com.

 Adobe

Få hjelp raskere og enklere

Ny bruker?