AVIS CERTFR - 2023 - AVI - 0456

AVIS CERT
CERT-FR

Publié le 14 juin 2023 à 16h25

Objet : Multiples vulnérabilités dans Adobe Commerce et Magento

Référence : CERTFR-2023-AVI-0455

Risque(s)

- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données

Systèmes affectés

- Adobe Commerce versions 2.4.6-x antérieures à 2.4.6-p1
- Adobe Commerce versions 2.4.5-x antérieures à 2.4.5-p3
- Adobe Commerce versions 2.4.4-x antérieures à 2.4.4-p4
- Adobe Commerce versions 2.4.3-x antérieures à 2.4.3-ext-3
- Adobe Commerce versions 2.4.2-x antérieures à 2.4.2-ext-3
- Adobe Commerce versions 2.4.1-x antérieures à 2.4.1-ext-3
- Adobe Commerce versions 2.4.0-x antérieures à 2.4.0-ext-3
- Adobe Commerce versions antérieures à 2.3.7-p4-ext-3
- Magento Open Source versions 2.4.6-x antérieures à 2.4.6-p1
- Magento Open Source versions 2.4.5-x antérieures à 2.4.5-p3
- Magento Open Source versions antérieures à 2.4.4-p4

Résumé

De multiples vulnérabilités ont été découvertes dans Adobe Commerce et Magento. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Adobe apsb23-35 du 13 juin 2023

https://helpx.adobe.com/security/products/magento/apsb23-35.html

- Référence CVE CVE-2023-29287

https://www.cve.org/CVERecord?id=CVE-2023-29287

- Référence CVE CVE-2023-29288

https://www.cve.org/CVERecord?id=CVE-2023-29288

- Référence CVE CVE-2023-29289

https://www.cve.org/CVERecord?id=CVE-2023-29289

- Référence CVE CVE-2023-29290

https://www.cve.org/CVERecord?id=CVE-2023-29290

- Référence CVE CVE-2023-29291

https://www.cve.org/CVERecord?id=CVE-2023-29291

- Référence CVE CVE-2023-29292

https://www.cve.org/CVERecord?id=CVE-2023-29292

- Référence CVE CVE-2023-29293

https://www.cve.org/CVERecord?id=CVE-2023-29293

- Référence CVE CVE-2023-29294

https://www.cve.org/CVERecord?id=CVE-2023-29294

- Référence CVE CVE-2023-29295

https://www.cve.org/CVERecord?id=CVE-2023-29295

- Référence CVE CVE-2023-29296

https://www.cve.org/CVERecord?id=CVE-2023-29296

- Référence CVE CVE-2023-29297

https://www.cve.org/CVERecord?id=CVE-2023-29297

- Référence CVE CVE-2023-22248

https://www.cve.org/CVERecord?id=CVE-2023-22248

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0455/