Bülten No
Son güncelleme:
10 Nis 2023
Adobe Commerce için güvenlik güncellemesi mevcut | APSB23-17
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB23-17 |
14 Mart 2023 |
3 |
Özet
Adobe, Adobe Commerce ve Magento Open Source için güvenlik güncellemeleri yayınladı. Bu güncelleme kritik, önemli ve orta seviye güvenlik açıklıklarını çözer. Güvenlik açığından başarılı bir şekilde yararlanılması, rastgele kod yürütülmesine, güvenlik özelliğinin atlanmasına ve rastgele dosya sisteminin okunmasına neden olabilir.
Etkilenen Sürümler
| Ürün | Sürüm | Platform |
|---|---|---|
| Adobe Commerce |
2.4.4-p2 ve önceki sürümler |
Tümü |
| 2.4.5-p1 ve önceki sürümü |
Tümü |
|
| Magento Open Source | 2.4.4-p2 ve önceki sürümler |
Tümü |
| 2.4.5-p1 ve önceki sürümü |
Tümü |
Çözüm
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
| Ürün | Güncel sürüm | Platform | Öncelik Derecelendirmesi | Kurulum Talimatları |
|---|---|---|---|---|
| Adobe Commerce |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Tümü |
3 | 2.4.x sürüm notları |
| Magento Open Source |
2.4.6, 2.4.5-p2, 2.4.4-p3 |
Tümü |
3 |
Güvenlik Açığı Detayları
| Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | Açıktan yararlanma için kimlik doğrulama gerekli mi? | Açıktan yararlanma yönetici ayrıcalıkları gerektiriyor mu? |
CVSS baz skoru |
CVSS vektörü |
CVE sayısı |
|---|---|---|---|---|---|---|---|
| XML Enjeksiyonu (aka Blind XPath Enjeksiyonu) (CWE-91) |
Rastgele sistem dosyası okunması |
Kritik | No | No | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22247 |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli | Evet | Evet | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22249 |
| Uygunsuz Erişim Kontrolü (CWE-284) |
Güvenlik özelliği atlatması |
Önemli | No | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2023-22250 |
| Uygunsuz Yetkilendirme (CWE-285) |
Güvenlik özelliği atlatması |
Orta Dereceli | No | No | 3.1 | CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-22251 |
Not:
Açıktan yararlanmak için kimlik doğrulaması gerekiyor: Güvenlik açığından kimlik bilgileri olmadan yararlanılabilir (veya yararlanılamaz).
Yönetici ayrıcalıkları gerektirir: Güvenlik açığından yalnızca yönetici ayrıcalıklarına sahip bir saldırgan yararlanabilir (veya yararlanamaz).
Teşekkür
Adobe, bu sorunu bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- Ricardo Iramar dos Santos -- CVE-2023-22247
- linoskoczek (linoskoczek) -- CVE-2023-22249
- wash0ut (wash0ut) -- CVE-2023-22250
- Theis Corfixen (corfixen) -- CVE-2023-22251
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.
