Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępna aktualizacja zabezpieczeń programu Adobe Commerce | APSB23-17

ID biuletynu

Data publikacji

Priorytet

APSB23-17

14 marca 2023 r.

3

Podsumowanie

Firma Adobe wydała aktualizację zabezpieczeń programów Adobe Commerce i Magento Open Source. Ta aktualizacja usuwa krytyczneistotne i umiarkowanie ważne luki w zabezpieczeniach. Udane wykorzystanie może doprowadzić do wykonania dowolnego kodu, obejścia zabezpieczeń i odczytu dowolnego systemu plików.

Zagrożone wersje

Produkt Wersja Platforma
 Adobe Commerce
2.4.4-p2 i starsze wersje 
Wszystkie
2.4.5-p1 i starsza wersja
Wszystkie
Magento Open Source 2.4.4-p2 i starsze wersje
Wszystkie
2.4.5-p1 i starsza wersja
Wszystkie

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.

 

Produkt Zaktualizowana wersja Platforma Ocena priorytetu Instrukcje instalacji
Adobe Commerce
2.4.6, 2.4.5-p2, 2.4.4-p3
Wszystkie
3 Uwagi na temat wersji 2.4.x
Magento Open Source 
2.4.6, 2.4.5-p2, 2.4.4-p3
Wszystkie
3

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Ostrość Uwierzytelnienie wymagane do wykorzystania? Wykorzystanie wymaga uprawnień administratora?
Podstawowy wynik CVSS
Wektor CVSS
Numer(y) CVE
Wstrzykiwanie kodu XML (znale też jako Blind XPath Injection) (CWE-91)
Odczytanie dowolnych danych w systemie plików
Krytyczna Nie Nie 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CVE-2023-22247
Tworzenie skryptów międzywitrynowych (zapisane XSS) (CWE-79)
Wykonanie dowolnego kodu
Ważna Tak Tak 4.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
CVE-2023-22249
Niewłaściwa kontrola dostępu (CWE-284)
Obejście funkcji bezpieczeństwa
Istotna Nie Nie 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
CVE-2023-22250
Niewłaściwa autoryzacja (CWE-285)
Obejście funkcji bezpieczeństwa
Umiarkowanie ważna Nie Nie 3.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
CVE-2023-22251

 

Uwaga:

Do wykorzystania wymagane jest uwierzytelnienie: lukę można (lub nie można) wykorzystać bez poświadczeń.


Wykorzystanie wymaga uprawnień administratora: lukę może (lub nie może) wykorzystać osoba atakująca z uprawnieniami administratora.

Podziękowania

Firma Adobe składa podziękowania następującym badaczom za zgłoszenie tej luki w zabezpieczeniach i współpracę z firmą Adobe w celu ochrony naszych klientów:

  • Ricardo Iramar dos Santos -- CVE-2023-22247
  • linoskoczek (linoskoczek) -- CVE-2023-22249
  • wash0ut (wash0ut) -- CVE-2023-22250
  • Theis Corfixen (corfixen) -- CVE-2023-22251

Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.

Adobe

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?