ID do boletim
Última atualização em
27 de out de 2022
Atualização de segurança disponível para o Adobe Commerce | APSB22-48
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
APSB22-48 |
11 de outubro de 2022 |
3 |
Resumo
Versões afetadas
| Produto | Versão | Plataforma |
|---|---|---|
| Adobe Commerce |
2.4.4-p1 e versões anteriores |
Todos |
| 2.4.5 e versões anteriores |
Todos |
|
| 2.4.3-p3 e versões anteriores | Todos | |
| Magento Open Source | 2.4.4-p1 e versões anteriores | Todos |
| 2.4.5 e versões anteriores |
Todos |
|
| 2.4.3-p3 e versões anteriores |
Todos |
Observação:
- 2.4.3-p1 e abaixo de 2.4.3-p1 não serão afetados se todos os hotfixes de segurança aplicáveis forem realizados
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.
| Produto | Versão atualizada | Plataforma | Classificação de prioridade | Instruções de instalação |
|---|---|---|---|---|
| Adobe Commerce |
2.4.5-p1 e 2.4.4-p2 |
Todos |
3 | Notas de versão 2.4.x |
| Magento Open Source |
2.4.5-p1 e 2.4.4-p2 |
Todos |
3 | |
| Adobe Commerce |
2.4.3-p3_Hotfix |
Todos |
3 | Correção ACSD-47578 |
| Magento Open Source |
2.4.3-p3_Hotfix |
Todos |
3 |
Detalhes da vulnerabilidade
| Categoria da vulnerabilidade | Impacto da vulnerabilidade | Severidade | Autenticação necessária para explorar? | A exploração requer privilégios administrativos? |
Pontuação base de CVSS |
Vetor CVSS |
ID de Bug do Magento | Número(s) CVE |
|---|---|---|---|---|---|---|---|---|
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Crítico | Não | Não | 10.0 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3177 |
CVE-2022-35698 |
| Controle de acesso impróprio (CWE-284) |
Falha de recurso de segurança |
Média | Sim | Não | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
PRODSECBUG-3180 |
CVE-2022-35689 |
Agradecimentos
A Adobe gostaria de agradecer aos seguintes pesquisadores por terem relatado esse problema e trabalhado com a Adobe para ajudar a proteger nossos clientes:
- Blaklis (blaklis) - CVE-2022-35698
Revisões
12 de outubro de 2022: Adicionados detalhes CVE para CVE-2022-35689
18 de outubro de 2022: Adicionados detalhes afetados/corrigidos para 2.4.3.x
Revisões
22 de agosto de 2022: Revisão da classificação de prioridade na tabela Solução
18 de agosto de 2022: Acrescentado CVE-2022-35692
12 de agosto de 2022: Valores atualizados em “Authentication required to exploit” e “Exploit requires admin privileges”.
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.
