Boletim de segurança da Adobe

Atualização de segurança disponível para o Adobe Commerce | APSB23-17

ID do boletim

Data de publicação

Prioridade

APSB23-17

14 de março de 2023

3

Resumo

A Adobe lançou atualizações de segurança para o Adobe Commerce e o Magento Open Source. Esta atualização resolve vulnerabilidades críticas, importantes e moderadas.  A exploração bem-sucedida poderia levar à execução arbitrária do código, desvio de recursos de segurança e leitura arbitrária do sistema de arquivos.

Versões afetadas

Produto Versão Plataforma
 Adobe Commerce
2.4.4-p2 e versões anteriores 
Todos
2.4.5-p1 e versão anterior
Todos
Magento Open Source 2.4.4-p2 e versões anteriores
Todos
2.4.5-p1 e versão anterior
Todos

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.

 

Produto Versão atualizada Plataforma Classificação de prioridade Instruções de instalação
Adobe Commerce
2.4.6, 2.4.5-p2, 2.4.4-p3
Todos
3 Notas de versão 2.4.x
Magento Open Source 
2.4.6, 2.4.5-p2, 2.4.4-p3
Todos
3

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Autenticação necessária para explorar? A exploração requer privilégios administrativos?
Pontuação base de CVSS
Vetor CVSS
Número(s) CVE
XML Injection (também conhecido como Blind XPath Injection) (CWE-91)
Leitura arbitrária do sistema de arquivos
Crítico Não Não 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CVE-2023-22247
Criação de script entre sites (XSS armazenado) (CWE-79)
Execução de código arbitrário
Importante Sim Sim 4.8 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
CVE-2023-22249
Controle de acesso impróprio (CWE-284)
Falha de recurso de segurança
Importante Não Não 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
CVE-2023-22250
Autorização inadequada (CWE-285)
Falha de recurso de segurança
Moderado Não Não 3.1 CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
CVE-2023-22251

 

Observação:

Autenticação necessária para explorar: a vulnerabilidade é (ou não é) explorável sem credenciais.


A exploração requer privilégios administrativos: a vulnerabilidade é (ou não é) apenas explorável por um invasor com privilégios administrativos.

Agradecimentos

A Adobe gostaria de agradecer aos seguintes pesquisadores por terem relatado esse problema e trabalhado com a Adobe para ajudar a proteger nossos clientes:

  • Ricardo Iramar dos Santos -- CVE-2023-22247
  • linoskoczek (linoskoczek) -- CVE-2023-22249
  • wash0ut (wash0ut) -- CVE-2023-22250
  • Theis Corfixen (corfixen) -- CVE-2023-22251

Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online