ID do boletim
Atualização de segurança disponível para o Adobe Commerce | APSB22-38
|
Data de publicação |
Prioridade |
---|---|---|
APSB22-38 |
9 de agosto de 2022 |
3 |
Resumo
A Adobe lançou atualizações de segurança para o Adobe Commerce e o Magento Open Source. Esta atualização resolve vulnerabilidades críticas, importantes e moderadas. A exploração bem-sucedida poderia levar a uma execução de código arbitrária, aumento de privilégios e desvio de recursos de segurança.
Versões afetadas
Produto | Versão | Plataforma |
---|---|---|
Adobe Commerce | 2.4.3-p2 e versões anteriores |
Todos |
2.3.7-p3 e versões anteriores | Todos |
|
Adobe Commerce |
2.4.4 e versões anteriores |
Todos |
Magento Open Source |
2.4.3-p2 e versões anteriores |
Todos |
2.3.7-p3 e versões anteriores | Todos | |
Magento Open Source |
2.4.4 e versões anteriores |
Todos |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.
Produto | Versão atualizada | Plataforma | Classificação de prioridade | Instruções de instalação |
---|---|---|---|---|
Adobe Commerce |
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5 |
Todos |
3 | |
Magento Open Source |
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5 |
Todos |
3 |
Detalhes da vulnerabilidade
Categoria da vulnerabilidade | Impacto da vulnerabilidade | Severidade | Autenticação necessária para explorar? | A exploração requer privilégios administrativos? |
Pontuação base de CVSS |
Vetor CVSS |
ID de Bug do Magento | Número(s) CVE |
---|---|---|---|---|---|---|---|---|
XML Injection (também conhecido como Blind XPath Injection) (CWE-91) |
Execução de código arbitrário |
Crítico | Sim | Sim | 9.1 | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3095 |
CVE-2022-34253 |
Limitação incorreta de um nome de caminho para um diretório restrito ("Caminho transversal") (CWE-22) |
Execução de código arbitrário |
Crítico | Sim | Não | 8.5 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
PRODSECBUG-3081 |
CVE-2022-34254 |
Validação de entrada inadequada (CWE-20) |
Escalonamento de privilégio |
Crítico | Sim | Não | 8.3 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
PRODSECBUG-3082 |
CVE-2022-34255 |
Autorização inadequada (CWE-285) |
Escalonamento de privilégio |
Crítico | Não | Não | 8.2 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
PRODSECBUG-3093 |
CVE-2022-34256 |
Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | Não | Não | 6.1 | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
PRODSECBUG-3079 |
CVE-2022-34257 |
Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Moderado | Sim | Sim | 3,5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N |
PRODSECBUG-3080 |
CVE-2022-34258 |
Controle de acesso impróprio (CWE-284) |
Falha de recurso de segurança |
Importante | Não | Não | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
PRODSECBUG-3180 |
CVE-2022-34259 |
Autorização inadequada (CWE-285) |
Falha de recurso de segurança |
Moderado |
Não | Não | 3.7 | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
PRODSECBUG-3151 |
CVE-2022-35692 |
Validação de entrada inadequada (CWE-20) |
Escalonamento de privilégio |
Crítico | Sim | Não | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3196 |
CVE-2022-42344 |
Agradecimentos
A Adobe gostaria de agradecer aos seguintes pesquisadores por terem relatado esse problema e trabalhado com a Adobe para ajudar a proteger nossos clientes:
- zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
- Edgar Boda-Majer (eboda) - CVE-2022-34254, CVE-2022-34257
- Salman Khan (salmanbabuzai) - CVE-2022-34258
- Axel Flamcourt (axfla) - CVE-2022-34259, CVE-2022-35692
- fqdn - CVE-2022-42344
Revisões
18 de outubro de 2022: Acrescentado CVE-2022-42344
22 de agosto de 2022: Revisão da classificação de prioridade na tabela Solução
18 de agosto de 2022: Acrescentado CVE-2022-35692
12 de agosto de 2022: Valores atualizados em “Authentication required to exploit” e “Exploit requires admin privileges”.
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.