Buletin de securitate Adobe

Actualizare de securitate disponibilă pentru Adobe Commerce | APSB23-17

ID buletin

Data publicării

Prioritatea

APSB23-17

14 martie 2023

3

Sumar

Adobe a lansat o actualizare de securitate pentru Adobe Commerce și Magento Open Source. Această actualizare remediază vulnerabilități critice, importante și moderate.  Exploatarea reușită ar putea conduce la executarea de cod arbitrar, ocolirea caracteristicii de securitate și citirea arbitară a fișierelor de sistem.

Versiunile afectate

Produs Versiunea Platformă
 Adobe Commerce
2.4.4-p2 și versiunile anterioare 
Toate
2.4.5-p1 și versiunile anterioare
Toate
Magento Open Source 2.4.4-p2 și versiunile anterioare
Toate
2.4.5-p1 și versiunile anterioare
Toate

Soluție

Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune.

 

Produs Versiune actualizată Platformă Evaluare a priorității Instrucţiuni de instalare
Adobe Commerce
2.4.6, 2.4.5-p2, 2.4.4-p3
Toate
3 Notele versiunii 2.4.x
Magento Open Source 
2.4.6, 2.4.5-p2, 2.4.4-p3
Toate
3

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate Impactul vulnerabilității Severitate Este necesară autentificarea pentru exploatare? Exploatarea necesită privilegii de administrator?
Scor de bază CVSS
Vector CVSS
Numărul (numerele) CVE
Injectare XML (cunoscută și ca Blind XPath Injection) (CWE-91)
Citire arbitrară din sistemul de fișiere
Critică Nu Nu 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CVE-2023-22247
Scriptare între site-uri (XSS stocat) (CWE-79)
Executare de cod arbitrară
Importantă Da Da 4.8 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
CVE-2023-22249
Control inadecvat al accesului (CWE-284)
Ocolirea caracteristicii de securitate
Importantă Nu Nu 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
CVE-2023-22250
Improper Authorization (CWE-285)
Ocolirea caracteristicii de securitate
Moderată Nu Nu 3.1 CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
CVE-2023-22251

 

Notă:

Autentificare necesară pentru a exploata: Vulnerabilitatea este (sau nu este) exploatabilă fără acreditări.


Exploatarea necesită privilegii de administrator: Vulnerabilitatea este (sau nu este) exploatabilă numai de către un atacator cu privilegii administrative.

Mențiuni

Adobe dorește să le mulțumească următorilor cercetători pentru raportarea acestei probleme și pentru colaborarea cu Adobe în scopul protejării clienților noștri:

  • Ricardo Iramar dos Santos -- CVE-2023-22247
  • linoskoczek (linoskoczek) -- CVE-2023-22249
  • wash0ut (wash0ut) -- CVE-2023-22250
  • Theis Corfixen (corfixen) -- CVE-2023-22251

Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com.

 Adobe

Obțineți ajutor mai rapid și mai ușor

Utilizator nou?

Adobe MAX 2024

Adobe MAX
Conferința despre creativitate

14 – 16 octombrie, Miami Beach și online

Adobe MAX

Conferința despre creativitate

14 – 16 octombrie, Miami Beach și online

Adobe MAX 2024

Adobe MAX
Conferința despre creativitate

14 – 16 octombrie, Miami Beach și online

Adobe MAX

Conferința despre creativitate

14 – 16 octombrie, Miami Beach și online