ID bollettino
Ultimo aggiornamento il
27 ott 2022
Aggiornamento di sicurezza disponibile per Adobe Commerce | APSB22-48
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
APSB22-48 |
11 ottobre 2022 |
3 |
Riepilogo
Adobe ha rilasciato un aggiornamento della sicurezza per Adobe Commerce e Magento Open Source. Questo aggiornamento risolve una vulnerabilità critica e una di media importanza. Un eventuale sfruttamento delle vulnerabilità può provocare l'esecuzione di codice arbitrario e l'aggiramento delle funzioni di sicurezza.
Versioni interessate
| Prodotto | Versione | Piattaforma |
|---|---|---|
| Adobe Commerce |
2.4.4-p1 e versioni precedenti |
Tutte |
| 2.4.5 e versioni precedenti |
Tutte |
|
| 2.4.3-p3 e versioni precedenti | Tutte | |
| Magento Open Source | 2.4.4-p1 e versioni precedenti | Tutte |
| 2.4.5 e versioni precedenti |
Tutte |
|
| 2.4.3-p3 e versioni precedenti |
Tutte |
Nota:
- le versioni 2.4.3-p1 e precedenti a 2.4.3-p1 non sono interessate se sono stati applicati tutti gli hotfix di sicurezza richiesti.
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
| Prodotto | Versione aggiornata | Piattaforma | Livello di priorità | Istruzioni per l’installazione |
|---|---|---|---|---|
| Adobe Commerce |
2.4.5-p1 e 2.4.4-p2 |
Tutte |
3 | Note sulla versione 2.4.x |
| Magento Open Source |
2.4.5-p1 e 2.4.4-p2 |
Tutte |
3 | |
| Adobe Commerce |
2.4.3-p3_Hotfix |
Tutte |
3 | Patch ACSD-47578 |
| Magento Open Source |
2.4.3-p3_Hotfix |
Tutte |
3 |
Dettagli della vulnerabilità
| Categoria della vulnerabilità | Impatto della vulnerabilità | Gravità | Autenticazione obbligatoria per l'utilizzo? | L'utilizzo richiede i privilegi di amministratore? |
Punteggio base CVSS |
Vettore CVSS |
Magento Bug ID | Codice/i CVE |
|---|---|---|---|---|---|---|---|---|
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Critica | No | No | 10.0 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3177 |
CVE-2022-35698 |
| Controllo di accesso non corretto (CWE-284) |
Aggiramento della funzione di sicurezza |
Medium | Sì | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
PRODSECBUG-3180 |
CVE-2022-35689 |
Ringraziamenti
Adobe desidera ringraziare i ricercatori seguenti per la segnalazione del problema e la collaborazione alla protezione dei clienti:
- Blaklis (blaklis) - CVE-2022-35698
Revisioni
12 ottobre 2022: aggiunti dettagli CVE per CVE-2022-35689
18 ottobre 2022: aggiunti i dettagli dei problemi e delle correzioni per 2.4.3.x
Revisioni
22 agosto 2022: revisione del rating di priorità nella tabella delle soluzioni
18 agosto 2022: aggiunto CVE-2022-35692
12 agosto 2022: aggiornati i valori di "Autenticazione obbligatoria per l'utilizzo" e "L'utilizzo richiede i privilegi di amministratore".
Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un'e-mail a PSIRT@adobe.com.
