Se han lanzado nuevos avisos de seguridad sobre múltiples vulnerabilidades que afectan a productos de Adobe, que permitirían a un atacante realizar ejecución de código arbitrario, ataques del tipo cross-site scripting (XSS), server-side request forgery (SSRF), entre otros.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica”, 3 (tres) de severidad “Alta”, 6 (seis) de severidad “Media” y 8 (ocho) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2023-29297 de severidad “Crítica”, con puntuación de 9.1. Esta vulnerabilidad del tipo cross-site scripting (XSS) almacenado se debe a una falla de validación de datos de entrada proporcionada por el usuario en Adobe Commerce y Magento Open Source. Esto permitiría a un atacante a través de solicitudes HTTP especialmente diseñadas enviadas al producto afectado, almacenar código JavaScript en el mismo que será ejecutado en el navegador de las víctimas al momento de su acceso a dicho producto.
- CVE-2023-29321 de severidad “Alta”, con puntuación de 7.8. Esta vulnerabilidad del tipo use-after-free (UAF) se debe una falla en la gestión de memoria en productos Adobe. Potencialmente, esto permitiría a un atacante realizar ejecución arbitraria de código o provocar denegación de servicio (DoS) en los productos afectados.
- CVE-2023-22248 de severidad “Alta”, con puntuación de 7.5. Esta vulnerabilidad se debe a una falla de autorización en Adobe Commerce y Magento Open Source. Esto permitiría a un atacante realizar evasión de controles de seguridad en los productos afectados.
Se puede acceder al listado completo de las vulnerabilidades aquí.
Los productos afectados son:
- Adobe Commerce, versiones 2.4.6 y anteriores, 2.4.5-p2 y anteriores, 2.4.4-p3 y anteriores, 2.4.3-ext-2 y anteriores, 2.4.2-ext-2 y anteriores, 2.4.1-ext-2 y anteriores, 2.4.0-ext-2 y anteriores, 2.3.7-p4-ext-2 y anteriores.
- Magento Open Source, versiones2.4.6 y anteriores, 2.4.5-p2 y anteriores, 2.4.4-p3 y anteriores.
- Adobe Substance 3D Designer (Windows y macOS), versión 12.4.1 y anteriores.
- Adobe Animate 2022 (Windows y macOS), versión 22.0.10.
- Adobe Animate 2023 (Windows y macOS), versión 23.0.2.
- Adobe Experience Manager (AEM), versiones AEM Cloud Service (CS), 6.5.16.0 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, acorde a la tecnología afectada indicada en los siguientes enlaces:
- https://helpx.adobe.com/security/security-bulletin.html
- https://helpx.adobe.com/creative-cloud/help/adobe_application_updater.html
Referencias:
- https://www.securityweek.com/patch-tuesday-critical-flaws-in-adobe-commerce-software/
- https://helpx.adobe.com/security/products/magento/apsb23-35.html
- https://helpx.adobe.com/security/products/substance3d_designer/apsb23-39.html
- https://helpx.adobe.com/security/products/animate/apsb23-36.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-29297
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-22248
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-29321
- https://helpx.adobe.com/security/security-bulletin.html
- https://helpx.adobe.com/creative-cloud/help/adobe_application_updater.html