Beveiligingsadvies van Adobe

Beveiligingsupdate beschikbaar voor Adobe Commerce | APSB22-48

Bulletin-id

Publicatiedatum

Prioriteit

APSB22-48

11 Oktober 2022

3

Samenvatting

Adobe heeft een beveiligingsupdate uitgebracht voor Adobe Commerce en Magento Open Source. Deze update verhelpt een kritieke en middelmatige kwetsbaarheid.  Succesvolle exploitatie kan leiden tot het uitvoeren van een willekeurige code, de escalatie van bevoegdheden en het omzeilen van beveiligingsfuncties.

Van toepassing op de volgende versies

Product Versie Platform
 Adobe Commerce
2.4.4-p1 en eerdere versies  
Alles
2.4.5 en eerdere versies  
Alles
2.4.3-p3 en eerdere versies Alles
Magento Open Source 2.4.4-p1 en eerdere versies Alles
2.4.5 en eerdere versies  
Alles
2.4.3-p3 en eerdere versies
Alles

Opmerking: 

  • 2.4.3-p1 en lager 2.4.3-p1 worden niet beïnvloed als alle toepasselijke beveiligingshotfixes worden toegepast

Oplossing

Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.

 

 

Product Bijgewerkte versie Platform Prioriteitsbeoordeling Installatie-instructies
Adobe Commerce
2.4.5-p1 en 2.4.4-p2 
Alles
3 Releaseopmerkingen voor versie 2.4.x
Magento Open Source 
2.4.5-p1 en 2.4.4-p2 
Alles
3
         
Adobe Commerce
2.4.3-p3_Hotfix
Alles
3 ACSD-47578 patch
Magento Open Source 
2.4.3-p3_Hotfix
Alles
3

Details van kwetsbaarheid

Categorie van kwetsbaarheid Impact van kwetsbaarheid Ernst Authentication vereist voor uitbuiting? Beheerdersbevoegdheden nodig voor uitbuiting?
CVSS-basisscore
CVSS-vector
Magento Bug ID CVE-nummer(s)
Cross-site scripting (opgeslagen XSS) (CWE-79)
Uitvoering van willekeurige code
Kritiek Nee Nee 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
 PRODSECBUG-3177
CVE-2022-35698
Onjuist toegangsbeheer (CWE-284)
Omzeiling van beveiligingsfunctie
Middelmatig Ja Nee 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
PRODSECBUG-3180
CVE-2022-35689

 

Dankbetuigingen

Adobe bedankt de volgende onderzoekers voor het melden van dit probleem en voor de samenwerking met Adobe om onze klanten te helpen beschermen:

  • Blaklis (blaklis) - CVE-2022-35698

Revisies

12 oktober 2022: CVE-details toegevoegd voor CVE-2022-35689

18 oktober 2022: aangetaste/verholpen details toegevoegd voor 2.4.3.x

 

Revisies

22 augustus 2022: Herziening prioriteitscijfer in oplossingentabel

18 augustus 2022: CVE-2022-35692 toegevoegd

12 augustus 2022: Bijgewerkte waarden in Authenticatie vereist om te exploiteren en Exploit vereist beheerdersrechten.

 


Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.

 Adobe

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?

Adobe MAX 2024

Adobe MAX
De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX

De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX 2024

Adobe MAX
De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX

De creativiteitsconferentie

14–16 oktober Miami Beach en online