Adobe-säkerhetsbulletin

Sök

Säkerhetsuppdatering tillgänglig för Adobe Commerce | APSB23-35

Bulletin-ID

Publiceringsdatum

Prioritet

APSB23-35

13 juni 2023

3

Sammanfattning

Adobe har släppt säkerhetsuppdateringar för Adobe Commerce och Magento Open Source. Uppdateringen löser kritiska, viktiga och måttliga sårbarheter.  Framgångsrikt utnyttjande kan leda till exekvering av godtycklig kod, kringgående av säkerhetsfunktioner och läsning av godtyckliga filsystem.

Berörda versioner

Produkt Version Plattform
 Adobe Commerce
 2.4.6 och tidigare versioner
2.4.5-p2 och tidigare versioner
2.4.4-p3 och tidigare versioner
2.4.3-ext-2 och tidigare versioner*
2.4.2-ext-2 och tidigare versioner*
2.4.1-ext-2 och tidigare versioner*
2.4.0-ext-2 och tidigare versioner*
2.3.7-p4-ext-2 och tidigare versioner*		 Alla
Magento Open Source 2.4.6 och tidigare versioner
2.4.5-p2 och tidigare versioner
2.4.4-p3 och tidigare versioner		 Alla

Obs! För tydlighetens skull listas nu de berörda versionerna för varje versionslinje istället för bara de senaste versionerna.
 * Dessa versioner är endast tillämpliga för kunder som deltar i programmet för utökad support

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.

 

Produkt Uppdaterad version Plattform Prioritetsklassificering Installationsanvisningar
Adobe Commerce

2.4.6-p1 för 2.4.6 och tidigare versioner
2.4.5-p3 feller 2.4.5-p2 och tidigare versioner

2.4.4-p4 för 2.4.4-p3 och tidigare versioner 
2.4.3-ext-3 för 2.4.3-ext-2 och tidigare versioner*
2.4.2-ext-3 för 2.4.2-ext-2 och tidigare versioner* 
2.4.1-ext-3 för 2.4.1-ext-2 och tidigare versioner* 
2.4.0-ext-3 för 2.4.0-ext-2 och tidigare versioner* 
2.3.7-p4-ext-3 för 2.3.7-p4-ext-2 och tidigare versioner*

 Alla
 3 Versionsinformation 2.4.x
Magento Open Source 
 2.4.6-p1 för 2.4.6 och tidigare versioner
2.4.5-p3 för 2.4.5-p2 och tidigare versioner
2.4.4-p4 för 2.4.4-p3 och tidigare versioner
 Alla
 3
Obs! * Dessa versioner är endast tillämpliga för kunder som deltar i programmet för utökad support

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet Krävs Authentication för utnyttjande? Kräver utnyttjande administratörsrättigheter?
 CVSS-baspoäng
 CVSS-vektor
 CVE-nummer
Informationsexponering (CWE-200)
 Åsidosättning av säkerhetsfunktion
 Viktig Nej Nej 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
 CVE-2023-29287
Felaktig auktorisering (CWE-863)
 Åsidosättning av säkerhetsfunktion
 Måttlig Ja Nej 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
 CVE-2023-29288
XML-injektion (även kallad indragen XPath-injektion) (CWE-91)
 Åsidosättning av säkerhetsfunktion
 Viktig Ja Ja 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
 CVE-2023-29289
Support saknas för integritetskontroll (CWE-353)
 Åsidosättning av säkerhetsfunktion
 Viktig Nej Nej 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
 CVE-2023-29290
Förfalskad begäran på serversidan (SSRF) (CWE-918)
 Åsidosättning av säkerhetsfunktion
 Viktig Ja Ja 4.9 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
 CVE-2023-29291
Förfalskad begäran på serversidan (SSRF) (CWE-918)
 Godtycklig läsning av filsystem
 Viktig Ja Ja 4.9 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
 CVE-2023-29292
Felaktig validering av indata (CWE-20)
 Åsidosättning av säkerhetsfunktion
 Måttlig Ja Ja 2.7 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L
 CVE-2023-29293
Affärslogikfel (CWE-840)
 Åsidosättning av säkerhetsfunktion
 Måttlig Ja Nej 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
 CVE-2023-29294
Felaktig auktorisering (CWE-863)
 Åsidosättning av säkerhetsfunktion
 Måttlig
 Ja Nej 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
 CVE-2023-29295
Felaktig auktorisering (CWE-863)
 Åsidosättning av säkerhetsfunktion
 Måttlig Ja Nej 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
 CVE-2023-29296
Serveröverskridande skriptning (lagrad XSS) (CW-79)
 Exekvering av godtycklig kod
 Kritisk  Ja Ja 9.1 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
 CVE-2023-29297
Felaktig auktorisering (CWE-863)
 Åsidosättning av säkerhetsfunktion
 Kritisk
 Nej Nej 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
 CVE-2023-22248

 

Obs!

Autentisering krävs för utnyttjande: Sårbarheten kan (eller kan inte) utnyttjas utan autentiseringsuppgifter.


Utnyttjande kräver administratörsrättigheter: Sårbarheten kan (eller kan inte) endast utnyttjas av en angripare med administratörsrättigheter.

Tack

Adobe tackar följande forskare för att de rapporterat problem och för att de samarbetar med oss i säkerhetsfrågor: 

  • Aliefis Galih (aliefis)  – CVE-2023-29289, CVE-2023-29294, CVE-2023-29295
  • Sebastien Cantos (truff)  – CVE-2023-29291, CVE-2023-29292
  • Pieter Zandbergen (pmzandbergen)  – CVE-2023-29290
  • Tomasz Gregorczyk (silpion)  – CVE-2023-29293
  • Blaklis (blaklis)  – CVE-2023-29297
  • Kunal Pandey (kunal94)  – CVE-2023-22248

Obs! Adobe har ett privat program ihop med HackerOne för att hitta fel. Gäller endast för inbjudna. Om du är intresserad av att samarbeta med Adobe med en extern säkerhetsundersökning ska du fylla i det här formuläret för nästa steg.

Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.

Få hjälp snabbare och enklare

Ny användare?

Snabblänkar

Visa alla dina planer Hantera dina planer
Visa snabblänkar
Dölj snabblänkar

Ställ en fråga i användarforumet

Ställ frågor och få svar från experterna.

Fråga nu

Kontakta oss

Få hjälp från andra personer.

Starta nu
^ Överst