Bollettino sulla sicurezza di Adobe

Aggiornamento di sicurezza disponibile per Adobe Commerce | APSB22-38

ID bollettino

Data di pubblicazione

Priorità

APSB22-38

9 agosto 2022
      

3

Riepilogo

Adobe ha rilasciato un aggiornamento della sicurezza per Adobe Commerce e  Magento Open Source. Questo aggiornamento risolve vulnerabilità critiche, importanti e moderate.  Un eventuale sfruttamento delle vulnerabilità può provocare l'esecuzione di codice arbitrario, l'acquisizione illecita di privilegi e l'aggiramento delle funzioni di sicurezza.

Versioni interessate

Prodotto Versione Piattaforma
 Adobe Commerce 2.4.3-p2 e versioni precedenti  
Tutte
2.3.7-p3 e versioni precedenti   Tutte
Adobe Commerce
2.4.4 e versioni precedenti  
Tutte
Magento Open Source

2.4.3-p2 e versioni precedenti       

Tutte
2.3.7-p3 e versioni precedenti Tutte
Magento Open Source
2.4.4 e versioni precedenti  
Tutte

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.

Prodotto Versione aggiornata Piattaforma Livello di priorità Istruzioni per l’installazione
Adobe Commerce
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Tutte
3

Note sulla versione 2.4.x

Note sulla versione 2.3.x

Magento Open Source 
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Tutte
3

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Autenticazione obbligatoria per l'utilizzo? L'utilizzo richiede i privilegi di amministratore?
Punteggio base CVSS
Vettore CVSS
Magento Bug ID Codice/i CVE
XML Injection (detta anche Blind XPath Injection) (CWE-91)
Esecuzione di codice arbitrario
Critica 9.1 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
PRODSECBUG-3095
CVE-2022-34253
Limitazione non corretta di un percorso a una directory con restrizioni ("Path Traversal") (CWE-22)
Esecuzione di codice arbitrario
Critica No 8.5 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
PRODSECBUG-3081
CVE-2022-34254
Convalida dell'input non corretta (CWE-20)
Acquisizione illecita di privilegi
Critica No  8.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
PRODSECBUG-3082
CVE-2022-34255
Autorizzazione impropria (CWE-285)
Acquisizione illecita di privilegi
Critica No No 8.2 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
PRODSECBUG-3093
CVE-2022-34256
Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79)
Esecuzione di codice arbitrario
Importante No No 6.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
PRODSECBUG-3079
CVE-2022-34257
Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79)
Esecuzione di codice arbitrario
Moderata 3,5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N
PRODSECBUG-3080
CVE-2022-34258
Controllo di accesso non corretto (CWE-284)
Aggiramento della funzione di sicurezza
Importante No No 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-34259
Autorizzazione impropria (CWE-285)
Aggiramento della funzione di sicurezza
Moderata
No No 3.7 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
PRODSECBUG-3151
CVE-2022-35692
Convalida dell'input non corretta (CWE-20)
Acquisizione illecita di privilegi
Critica No 8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3196
CVE-2022-42344

 

Ringraziamenti

Adobe desidera ringraziare i ricercatori seguenti per la segnalazione del problema e la collaborazione alla protezione dei clienti:

  • zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
  • Edgar Boda-Majer (eboda) - CVE-2022-34254, CVE-2022-34257
  • Salman Khan (salmanbabuzai) - CVE-2022-34258
  • Axel Flamcourt (axfla) - CVE-2022-34259, CVE-2022-35692
  • fqdn - CVE-2022-42344

 

Revisioni

18 ottobre 2022: aggiunta di CVE-2022-42344

22 agosto 2022: revisione del rating di priorità nella tabella delle soluzioni

18 agosto 2022: aggiunto CVE-2022-35692

12 agosto 2022: aggiornati i valori di "Autenticazione obbligatoria per l'utilizzo" e "L'utilizzo richiede i privilegi di amministratore".



 


Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un'e-mail a PSIRT@adobe.com.

 Adobe

Ottieni supporto in modo più facile e veloce

Nuovo utente?

Adobe MAX 2024

Adobe MAX
La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX

La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX 2024

Adobe MAX
La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX

La conferenza sulla creatività

14-16 ottobre Miami Beach e online