Boletim de segurança da Adobe

Atualização de segurança disponível para o Adobe Commerce | APSB22-38

ID do boletim

Data de publicação

Prioridade

APSB22-38

9 de agosto de 2022
      

3

Resumo

A Adobe lançou atualizações de segurança para o Adobe Commerce e o Magento Open Source. Esta atualização resolve vulnerabilidades críticas, importantes e moderadas.  A exploração bem-sucedida poderia levar a uma execução de código arbitrária, aumento de privilégios e desvio de recursos de segurança.

Versões afetadas

Produto Versão Plataforma
 Adobe Commerce 2.4.3-p2 e versões anteriores  
Todos
2.3.7-p3 e versões anteriores    Todos
Adobe Commerce
2.4.4 e versões anteriores  
Todos
Magento Open Source

2.4.3-p2 e versões anteriores       

Todos
2.3.7-p3 e versões anteriores Todos
Magento Open Source
2.4.4 e versões anteriores  
Todos

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.

Produto Versão atualizada Plataforma Classificação de prioridade Instruções de instalação
Adobe Commerce
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Todos
3

Notas de versão 2.4.x

Notas de versão 2.3.x

Magento Open Source 
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Todos
3

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Autenticação necessária para explorar? A exploração requer privilégios administrativos?
Pontuação base de CVSS
Vetor CVSS
ID de Bug do Magento Número(s) CVE
XML Injection (também conhecido como Blind XPath Injection) (CWE-91)
Execução de código arbitrário
Crítico Sim Sim 9.1 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
PRODSECBUG-3095
CVE-2022-34253
Limitação incorreta de um nome de caminho para um diretório restrito ("Caminho transversal") (CWE-22)
Execução de código arbitrário
Crítico Sim Não 8.5 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
PRODSECBUG-3081
CVE-2022-34254
Validação de entrada inadequada (CWE-20)
Escalonamento de privilégio
Crítico Sim Não  8.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
PRODSECBUG-3082
CVE-2022-34255
Autorização inadequada (CWE-285)
Escalonamento de privilégio
Crítico Não Não 8.2 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
PRODSECBUG-3093
CVE-2022-34256
Criação de script entre sites (XSS armazenado) (CWE-79)
Execução de código arbitrário
Importante Não Não 6.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
PRODSECBUG-3079
CVE-2022-34257
Criação de script entre sites (XSS armazenado) (CWE-79)
Execução de código arbitrário
Moderado Sim Sim 3,5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N
PRODSECBUG-3080
CVE-2022-34258
Controle de acesso impróprio (CWE-284)
Falha de recurso de segurança
Importante Não Não 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-34259
Autorização inadequada (CWE-285)
Falha de recurso de segurança
Moderado
Não Não 3.7 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
PRODSECBUG-3151
CVE-2022-35692
Validação de entrada inadequada (CWE-20)
Escalonamento de privilégio
Crítico Sim Não 8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3196
CVE-2022-42344

 

Agradecimentos

A Adobe gostaria de agradecer aos seguintes pesquisadores por terem relatado esse problema e trabalhado com a Adobe para ajudar a proteger nossos clientes:

  • zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
  • Edgar Boda-Majer (eboda) - CVE-2022-34254, CVE-2022-34257
  • Salman Khan (salmanbabuzai) - CVE-2022-34258
  • Axel Flamcourt (axfla) - CVE-2022-34259, CVE-2022-35692
  • fqdn - CVE-2022-42344

 

Revisões

18 de outubro de 2022: Acrescentado CVE-2022-42344

22 de agosto de 2022: Revisão da classificação de prioridade na tabela Solução

18 de agosto de 2022: Acrescentado CVE-2022-35692

12 de agosto de 2022: Valores atualizados em “Authentication required to exploit” e “Exploit requires admin privileges”.



 


Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?