Référence du bulletin
Mise à jour de sécurité disponible pour Adobe Commerce | APSB22-48
|
Date de publication |
Priorité |
---|---|---|
APSB22-48 |
11 octobre 2022 |
3 |
Récapitulatif
Versions concernées
Produit | Version | Plate-forme |
---|---|---|
Adobe Commerce |
2.4.4-p1 et versions antérieures |
Toutes |
2.4.5 et versions antérieures |
Toutes |
|
2.4.3-p3 et versions antérieures | Toutes | |
Magento Open Source | 2.4.4-p1 et versions antérieures | Toutes |
2.4.5 et versions antérieures |
Toutes |
|
2.4.3-p3 et versions antérieures |
Toutes |
Remarque :
- les versions 2.4.3-p1 et inférieures à 2.4.3-p1 ne sont pas affectées si tous les correctifs de sécurité applicables sont appliqués
Solution
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels.
Produit | Mise à jour | Plate-forme | Priorité | Instructions d’installation |
---|---|---|---|---|
Adobe Commerce |
2.4.5-p1 et 2.4.4-p2 |
Toutes |
3 | Notes de mise à jour 2.4.x |
Magento Open Source |
2.4.5-p1 et 2.4.4-p2 |
Toutes |
3 | |
Adobe Commerce |
2.4.3-p3_Hotfix |
Toutes |
3 | Correctif ACSD-47578 |
Magento Open Source |
2.4.3-p3_Hotfix |
Toutes |
3 |
Détails concernant la vulnérabilité
Catégorie de la vulnérabilité | Impact de la vulnérabilité | Gravité | Authentification requise pour l’exploitation ? | L’exploit nécessite des droits d’administrateur ? |
Score de base CVSS |
Vecteur CVSS |
ID de bogue Magento | Numéro(s) CVE |
---|---|---|---|---|---|---|---|---|
Cross-site scripting (XSS stocké) (CWE-79) |
Exécution de code arbitraire |
Critique | Non | Non | 10.0 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3177 |
CVE-2022-35698 |
Contrôle d’accès incorrect (CWE-284) |
Contournement des fonctions de sécurité |
Moyenne | Oui | Non | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
PRODSECBUG-3180 |
CVE-2022-35689 |
Remerciements
Adobe tient à remercier les chercheurs suivants pour avoir signalé ce problème et joint leurs efforts aux nôtres pour protéger nos clients :
- Blaklis (blaklis) - CVE-2022-35698
Révisions
12 octobre 2022 : ajout d’informations CVE pour CVE-2022-35689
18 octobre 2022 : ajout d’informations sur les éléments affectés/correctifs pour 2.4.3.x
Révisions
22 août 2022 : révision des priorités dans le tableau des solutions
18 août 2022 : ajout de CVE-2022-35692
12 août 2022 : valeurs mises à jour dans « Authentification requise pour l’exploitation » et « L’exploit nécessite des droits d’administrateur ».
Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.
Adobe
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?