ID biuletynu
Dostępna aktualizacja zabezpieczeń programu Adobe Commerce | APSB23-17
|
Data publikacji |
Priorytet |
---|---|---|
APSB23-17 |
14 marca 2023 r. |
3 |
Podsumowanie
Firma Adobe wydała aktualizację zabezpieczeń programów Adobe Commerce i Magento Open Source. Ta aktualizacja usuwa krytyczne, istotne i umiarkowanie ważne luki w zabezpieczeniach. Udane wykorzystanie może doprowadzić do wykonania dowolnego kodu, obejścia zabezpieczeń i odczytu dowolnego systemu plików.
Zagrożone wersje
Produkt | Wersja | Platforma |
---|---|---|
Adobe Commerce |
2.4.4-p2 i starsze wersje |
Wszystkie |
2.4.5-p1 i starsza wersja |
Wszystkie |
|
Magento Open Source | 2.4.4-p2 i starsze wersje |
Wszystkie |
2.4.5-p1 i starsza wersja |
Wszystkie |
Rozwiązanie
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.
Produkt | Zaktualizowana wersja | Platforma | Ocena priorytetu | Instrukcje instalacji |
---|---|---|---|---|
Adobe Commerce |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Wszystkie |
3 | Uwagi na temat wersji 2.4.x |
Magento Open Source |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Wszystkie |
3 |
Informacje o luce w zabezpieczeniach
Kategoria luki w zabezpieczeniach | Wpływ luki w zabezpieczeniach | Ostrość | Uwierzytelnienie wymagane do wykorzystania? | Wykorzystanie wymaga uprawnień administratora? |
Podstawowy wynik CVSS |
Wektor CVSS |
Numer(y) CVE |
---|---|---|---|---|---|---|---|
Wstrzykiwanie kodu XML (znale też jako Blind XPath Injection) (CWE-91) |
Odczytanie dowolnych danych w systemie plików |
Krytyczna | Nie | Nie | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22247 |
Tworzenie skryptów międzywitrynowych (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Ważna | Tak | Tak | 4.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22249 |
Niewłaściwa kontrola dostępu (CWE-284) |
Obejście funkcji bezpieczeństwa |
Istotna | Nie | Nie | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2023-22250 |
Niewłaściwa autoryzacja (CWE-285) |
Obejście funkcji bezpieczeństwa |
Umiarkowanie ważna | Nie | Nie | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-22251 |
Do wykorzystania wymagane jest uwierzytelnienie: lukę można (lub nie można) wykorzystać bez poświadczeń.
Wykorzystanie wymaga uprawnień administratora: lukę może (lub nie może) wykorzystać osoba atakująca z uprawnieniami administratora.
Podziękowania
Firma Adobe składa podziękowania następującym badaczom za zgłoszenie tej luki w zabezpieczeniach i współpracę z firmą Adobe w celu ochrony naszych klientów:
- Ricardo Iramar dos Santos -- CVE-2023-22247
- linoskoczek (linoskoczek) -- CVE-2023-22249
- wash0ut (wash0ut) -- CVE-2023-22250
- Theis Corfixen (corfixen) -- CVE-2023-22251
Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.