Adobe-Sicherheitsbulletin

Sicherheits-Update für Adobe Commerce verfügbar | APSB22-48

Bulletin-ID

Veröffentlichungsdatum

Priorität

APSB22-48

11. Oktober 2022

3

Zusammenfassung

Adobe hat ein Sicherheitsupdate für Adobe Commerce und Magento Open Source veröffentlicht. Dieses Update behebt eine kritische und mittlere Sicherheitslücke.  Eine erfolgreiche Ausnutzung könnte zur Ausführung von beliebigem Code und zur Umgehung von Sicherheitsfunktionen führen
.

Betroffene Versionen

Produkt Version Plattform
 Adobe Commerce
2.4.4-p1 und frühere Versionen  
Alle
2.4.5 und frühere Versionen  
Alle
2.4.3-p3 und frühere Versionen Alle
Magento Open Source 2.4.4-p1 und frühere Versionen Alle
2.4.5 und frühere Versionen  
Alle
2.4.3-p3 und frühere Versionen
Alle

Hinweis: 

  • 2.4.3-p1 und darunter 2.4.3-p1 sind nicht betroffen, wenn alle zutreffenden Sicherheits-Hotfixes angewendet werden

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.

 

 

Produkt Aktualisierte Version Plattform Priorität Installationsanweisungen
Adobe Commerce
2.4.5-p1 und 2.4.4-p2 
Alle
3 2.4.x – Versionshinweise
Magento Open Source 
2.4.5-p1 und 2.4.4-p2 
Alle
3
         
Adobe Commerce
2.4.3-p3_Hotfix
Alle
3 ACSD-47578 Patch
Magento Open Source 
2.4.3-p3_Hotfix
Alle
3

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe Exploit erfordert Authentifizierung? Exploit erfordert Admin-Rechte?
CVSS-Basispunktzahl
CVSS-Vektor
Magento-Fehler-ID CVE-Nummern(n)
Cross-Site-Scripting (beständiges XSS) (CWE-79)
Willkürliche Ausführung von Code
Kritisch Nein Nein 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
 PRODSECBUG-3177
CVE-2022-35698
Unzulässige Zugriffskontrolle (CWE-284)
Umgehung der Sicherheitsfunktionen
Medium Ja Nein 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-35689

 

Danksagung

Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und für die Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden:

  • Blaklis (blaklis) - CVE-2022-35698

Überarbeitungen

12. Oktober 35689: CVE-Details für -2022-, CVE-2022

18. Oktober 2022: Details zu betroffenen / behobenen Problemen für 2.4.3.x hinzugefügt

 

Überarbeitungen

22. August 2022: Änderung der Prioritätseinstufung in der Lösungstabelle

18. August 2022: CVE-2022-35692 hinzugefügt

12. August 2022: Aktualisierte Werte in "Authentifizierung für Exploit erforderlich" und "Exploit erfordert Admin-Rechte"

 


Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?