Bulletin-ID
Säkerhetsuppdatering tillgänglig för Adobe Commerce | APSB23-17
|
Publiceringsdatum |
Prioritet |
---|---|---|
APSB23-17 |
14 mars 2023 |
3 |
Sammanfattning
Berörda versioner
Produkt | Version | Plattform |
---|---|---|
Adobe Commerce |
2.4.4-p2 och tidigare versioner |
Alla |
2.4.5-p1 och tidigare versioner |
Alla |
|
Magento Open Source | 2.4.4-p2 och tidigare versioner |
Alla |
2.4.5-p1 och tidigare versioner |
Alla |
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
Produkt | Uppdaterad version | Plattform | Prioritetsklassificering | Installationsanvisningar |
---|---|---|---|---|
Adobe Commerce |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Alla |
3 | Versionsinformation 2.4.x |
Magento Open Source |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Alla |
3 |
Sårbarhetsinformation
Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | Krävs Authentication för utnyttjande? | Kräver utnyttjande administratörsrättigheter? |
CVSS-baspoäng |
CVSS-vektor |
CVE-nummer |
---|---|---|---|---|---|---|---|
XML-injektion (även kallad indragen XPath-injektion) (CWE-91) |
Godtycklig läsning av filsystem |
Kritisk | Nej | Nej | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22247 |
Serveröverskridande skriptning (lagrad XSS) (CW-79) |
Exekvering av godtycklig kod |
Viktigt | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22249 |
Felaktig åtkomstkontroll (CWE-284) |
Åsidosättning av säkerhetsfunktion |
Viktig | Nej | Nej | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2023-22250 |
Felaktig auktorisering (CWE-285) |
Åsidosättning av säkerhetsfunktion |
Måttlig | Nej | Nej | 3.1 | CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-22251 |
Autentisering krävs för utnyttjande: Sårbarheten kan (eller kan inte) utnyttjas utan autentiseringsuppgifter.
Utnyttjande kräver administratörsrättigheter: Sårbarheten kan (eller kan inte) endast utnyttjas av en angripare med administratörsrättigheter.
Tack
Adobe tackar följande forskare för att de har rapporterat problemet och för att de samarbetar med Adobe för att hjälpa till att skydda våra kunder:
- Ricardo Iramar dos Santos -- CVE-2023-22247
- linoskoczek (linoskoczek) -- CVE-2023-22249
- wash0ut (wash0ut) -- CVE-2023-22250
- Theis Corfixen (corfixen) -- CVE-2023-22251
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.