ID bollettino
Aggiornamento di sicurezza disponibile per Adobe Commerce | APSB22-38
|
Data di pubblicazione |
Priorità |
---|---|---|
APSB22-38 |
9 agosto 2022 |
3 |
Riepilogo
Adobe ha rilasciato un aggiornamento della sicurezza per Adobe Commerce e Magento Open Source. Questo aggiornamento risolve vulnerabilità critiche, importanti e moderate. Un eventuale sfruttamento delle vulnerabilità può provocare l'esecuzione di codice arbitrario, l'acquisizione illecita di privilegi e l'aggiramento delle funzioni di sicurezza.
Versioni interessate
Prodotto | Versione | Piattaforma |
---|---|---|
Adobe Commerce | 2.4.3-p2 e versioni precedenti |
Tutte |
2.3.7-p3 e versioni precedenti | Tutte |
|
Adobe Commerce |
2.4.4 e versioni precedenti |
Tutte |
Magento Open Source |
2.4.3-p2 e versioni precedenti |
Tutte |
2.3.7-p3 e versioni precedenti | Tutte | |
Magento Open Source |
2.4.4 e versioni precedenti |
Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
Prodotto | Versione aggiornata | Piattaforma | Livello di priorità | Istruzioni per l’installazione |
---|---|---|---|---|
Adobe Commerce |
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5 |
Tutte |
3 | |
Magento Open Source |
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5 |
Tutte |
3 |
Dettagli della vulnerabilità
Categoria della vulnerabilità | Impatto della vulnerabilità | Gravità | Autenticazione obbligatoria per l'utilizzo? | L'utilizzo richiede i privilegi di amministratore? |
Punteggio base CVSS |
Vettore CVSS |
Magento Bug ID | Codice/i CVE |
---|---|---|---|---|---|---|---|---|
XML Injection (detta anche Blind XPath Injection) (CWE-91) |
Esecuzione di codice arbitrario |
Critica | Sì | Sì | 9.1 | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3095 |
CVE-2022-34253 |
Limitazione non corretta di un percorso a una directory con restrizioni ("Path Traversal") (CWE-22) |
Esecuzione di codice arbitrario |
Critica | Sì | No | 8.5 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
PRODSECBUG-3081 |
CVE-2022-34254 |
Convalida dell'input non corretta (CWE-20) |
Acquisizione illecita di privilegi |
Critica | Sì | No | 8.3 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
PRODSECBUG-3082 |
CVE-2022-34255 |
Autorizzazione impropria (CWE-285) |
Acquisizione illecita di privilegi |
Critica | No | No | 8.2 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
PRODSECBUG-3093 |
CVE-2022-34256 |
Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante | No | No | 6.1 | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
PRODSECBUG-3079 |
CVE-2022-34257 |
Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Moderata | Sì | Sì | 3,5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N |
PRODSECBUG-3080 |
CVE-2022-34258 |
Controllo di accesso non corretto (CWE-284) |
Aggiramento della funzione di sicurezza |
Importante | No | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
PRODSECBUG-3180 |
CVE-2022-34259 |
Autorizzazione impropria (CWE-285) |
Aggiramento della funzione di sicurezza |
Moderata |
No | No | 3.7 | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
PRODSECBUG-3151 |
CVE-2022-35692 |
Convalida dell'input non corretta (CWE-20) |
Acquisizione illecita di privilegi |
Critica | Sì | No | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3196 |
CVE-2022-42344 |
Ringraziamenti
Adobe desidera ringraziare i ricercatori seguenti per la segnalazione del problema e la collaborazione alla protezione dei clienti:
- zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
- Edgar Boda-Majer (eboda) - CVE-2022-34254, CVE-2022-34257
- Salman Khan (salmanbabuzai) - CVE-2022-34258
- Axel Flamcourt (axfla) - CVE-2022-34259, CVE-2022-35692
- fqdn - CVE-2022-42344
Revisioni
18 ottobre 2022: aggiunta di CVE-2022-42344
22 agosto 2022: revisione del rating di priorità nella tabella delle soluzioni
18 agosto 2022: aggiunto CVE-2022-35692
12 agosto 2022: aggiornati i valori di "Autenticazione obbligatoria per l'utilizzo" e "L'utilizzo richiede i privilegi di amministratore".
Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un'e-mail a PSIRT@adobe.com.