Bülten No
Son güncelleme:
17 Ağu 2023
Adobe Commerce için güvenlik güncellemesi mevcut | APSB23-42
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB23-42 |
8 Ağustıs 2023 |
3 |
Özet
Etkilenen Sürümler
| Ürün | Sürüm | Platform |
|---|---|---|
| Adobe Commerce |
2.4.6-p1 ve öncesi 2.4.5-p3 ve 2.4.4-p4 ve öncesi 2.4.3-ext-3 ve öncesi* 2.4.2-ext-3 ve öncesi* 2.4.1-ext-3 ve öncesi* 2.4.0-ext-3 ve öncesi* 2.3.7-p4-ext-3 ve öncesi* |
Tümü |
| Magento Open Source | 2.4.6-p1 ve öncesi 2.4.5-p3 ve öncesi 2.4.4-p4 ve öncesi |
Tümü |
Not: Daha anlaşılır olması için, etkilenen sürümler artık yalnızca en son sürümler yerine her sürüm satırı için listelenmektedir.
* Bu sürümler yalnızca Genişletilmiş Destek Programına katılan müşteriler için geçerlidir
Çözüm
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
| Ürün | Güncel sürüm | Platform | Öncelik Derecelendirmesi | Kurulum Talimatları |
|---|---|---|---|---|
| Adobe Commerce |
2.2.4.6 ve öncesi için 4.6-p2 |
Tümü |
3 | 2.4.x sürüm notları |
| Magento Open Source |
2.2.4.6 ve öncesi için 4.6-p2 2.2.4.5-p3 ve öncesi için 4.5-p4 |
Tümü |
3 | |
| Not: * Bu sürümler yalnızca Genişletilmiş Destek Programına katılan müşteriler için geçerlidir | ||||
Güvenlik Açığı Detayları
| Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | Açıktan yararlanma için kimlik doğrulama gerekli mi? | Açıktan yararlanma yönetici ayrıcalıkları gerektiriyor mu? |
CVSS baz skoru |
CVSS vektörü |
CVE sayısı |
|---|---|---|---|---|---|---|---|
| XML Enjeksiyonu (aka Blind XPath Enjeksiyonu) (CWE-91) |
Rastgele sistem dosyası okunması |
Önemli | No | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-38207 |
| Bir İşletim Sistemi Komutunda Kullanılan Özel Unsurların Uygun Olmayan Şekilde Etkisiz Hale Getirilmesi ('İşletim Sistemi Komut Enjeksiyonu') (CWE-78) |
Rastgele kod yürütme |
Kritik | Evet | Evet | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
CVE-2023-38208 |
| Uygunsuz Erişim Kontrolü (CWE-284) |
Ayrıcalığı yükseltme |
Önemli | Evet | No | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-38209 |
Not:
Açıktan yararlanmak için kimlik doğrulaması gerekiyor: Güvenlik açığından kimlik bilgileri olmadan yararlanılabilir (veya yararlanılamaz).
Yönetici ayrıcalıkları gerektirir: Güvenlik açığından yalnızca yönetici ayrıcalıklarına sahip bir saldırgan yararlanabilir (veya yararlanamaz).
Teşekkür
Adobe, bu sorunları bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- wohlie - CVE-2023-38207 ve CVE-2023-38209
- Blaklis - CVE-2023-38208
NOT: Adobe'nin HackerOne ile özel, yalnızca davetlilere açık, hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen sonraki adımlar için bu formu doldurun.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.
