Bulletin-id
Laatst bijgewerkt op
27 okt. 2022
Beveiligingsupdate beschikbaar voor Adobe Commerce | APSB22-48
|
|
Publicatiedatum |
Prioriteit |
|---|---|---|
|
APSB22-48 |
11 Oktober 2022 |
3 |
Samenvatting
Adobe heeft een beveiligingsupdate uitgebracht voor Adobe Commerce en Magento Open Source. Deze update verhelpt een kritieke en middelmatige kwetsbaarheid. Succesvolle exploitatie kan leiden tot het uitvoeren van een willekeurige code, de escalatie van bevoegdheden en het omzeilen van beveiligingsfuncties.
Van toepassing op de volgende versies
| Product | Versie | Platform |
|---|---|---|
| Adobe Commerce |
2.4.4-p1 en eerdere versies |
Alles |
| 2.4.5 en eerdere versies |
Alles |
|
| 2.4.3-p3 en eerdere versies | Alles | |
| Magento Open Source | 2.4.4-p1 en eerdere versies | Alles |
| 2.4.5 en eerdere versies |
Alles |
|
| 2.4.3-p3 en eerdere versies |
Alles |
Opmerking:
- 2.4.3-p1 en lager 2.4.3-p1 worden niet beïnvloed als alle toepasselijke beveiligingshotfixes worden toegepast
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.
| Product | Bijgewerkte versie | Platform | Prioriteitsbeoordeling | Installatie-instructies |
|---|---|---|---|---|
| Adobe Commerce |
2.4.5-p1 en 2.4.4-p2 |
Alles |
3 | Releaseopmerkingen voor versie 2.4.x |
| Magento Open Source |
2.4.5-p1 en 2.4.4-p2 |
Alles |
3 | |
| Adobe Commerce |
2.4.3-p3_Hotfix |
Alles |
3 | ACSD-47578 patch |
| Magento Open Source |
2.4.3-p3_Hotfix |
Alles |
3 |
Details van kwetsbaarheid
| Categorie van kwetsbaarheid | Impact van kwetsbaarheid | Ernst | Authentication vereist voor uitbuiting? | Beheerdersbevoegdheden nodig voor uitbuiting? |
CVSS-basisscore |
CVSS-vector |
Magento Bug ID | CVE-nummer(s) |
|---|---|---|---|---|---|---|---|---|
| Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Kritiek | Nee | Nee | 10.0 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3177 |
CVE-2022-35698 |
| Onjuist toegangsbeheer (CWE-284) |
Omzeiling van beveiligingsfunctie |
Middelmatig | Ja | Nee | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L |
PRODSECBUG-3180 |
CVE-2022-35689 |
Dankbetuigingen
Adobe bedankt de volgende onderzoekers voor het melden van dit probleem en voor de samenwerking met Adobe om onze klanten te helpen beschermen:
- Blaklis (blaklis) - CVE-2022-35698
Revisies
12 oktober 2022: CVE-details toegevoegd voor CVE-2022-35689
18 oktober 2022: aangetaste/verholpen details toegevoegd voor 2.4.3.x
Revisies
22 augustus 2022: Herziening prioriteitscijfer in oplossingentabel
18 augustus 2022: CVE-2022-35692 toegevoegd
12 augustus 2022: Bijgewerkte waarden in Authenticatie vereist om te exploiteren en Exploit vereist beheerdersrechten.
Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.
