Adobe-säkerhetsbulletin

Säkerhetsuppdatering tillgänglig för Adobe Commerce | APSB23-17

Bulletin-ID

Publiceringsdatum

Prioritet

APSB23-17

14 mars 2023

3

Sammanfattning

Adobe har släppt säkerhetsuppdateringar för Adobe Commerce och Magento Open Source. Uppdateringen löser kritiska, viktiga och måttliga sårbarheter.  Framgångsrikt utnyttjande kan leda till exekvering av godtycklig kod, kringgående av säkerhetsfunktioner och läsning av godtyckliga filsystem.

Berörda versioner

Produkt Version Plattform
 Adobe Commerce
2.4.4-p2 och tidigare versioner 
Alla
2.4.5-p1 och tidigare versioner
Alla
Magento Open Source 2.4.4-p2 och tidigare versioner
Alla
2.4.5-p1 och tidigare versioner 
Alla

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.

 

Produkt Uppdaterad version Plattform Prioritetsklassificering Installationsanvisningar
Adobe Commerce
2.4.6, 2.4.5-p2, 2.4.4-p3
Alla
3 Versionsinformation 2.4.x
Magento Open Source 
2.4.6, 2.4.5-p2, 2.4.4-p3
Alla
3

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet Krävs Authentication för utnyttjande? Kräver utnyttjande administratörsrättigheter?
CVSS-baspoäng
CVSS-vektor
CVE-nummer
XML-injektion (även kallad indragen XPath-injektion) (CWE-91)
Godtycklig läsning av filsystem
Kritisk Nej Nej 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CVE-2023-22247
Serveröverskridande skriptning (lagrad XSS) (CW-79)
Exekvering av godtycklig kod
Viktigt Ja Ja 4.8 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
CVE-2023-22249
Felaktig åtkomstkontroll (CWE-284)
Åsidosättning av säkerhetsfunktion
Viktig Nej Nej 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
CVE-2023-22250
Felaktig auktorisering (CWE-285)
Åsidosättning av säkerhetsfunktion
Måttlig Nej Nej 3.1 CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
CVE-2023-22251

 

Obs!

Autentisering krävs för utnyttjande: Sårbarheten kan (eller kan inte) utnyttjas utan autentiseringsuppgifter.


Utnyttjande kräver administratörsrättigheter: Sårbarheten kan (eller kan inte) endast utnyttjas av en angripare med administratörsrättigheter.

Tack

Adobe tackar följande forskare för att de har rapporterat problemet och för att de samarbetar med Adobe för att hjälpa till att skydda våra kunder:

  • Ricardo Iramar dos Santos -- CVE-2023-22247
  • linoskoczek (linoskoczek) -- CVE-2023-22249
  • wash0ut (wash0ut) -- CVE-2023-22250
  • Theis Corfixen (corfixen) -- CVE-2023-22251

Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.

 Adobe

Få hjälp snabbare och enklare

Ny användare?

Adobe MAX 2024

Adobe MAX
Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX

Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX 2024

Adobe MAX
Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX

Kreativitetskonferensen

14–16 okt i Miami Beach och online