Adobe 安全公告

Adobe Commerce 的安全更新 | APSB22-38

公告 ID

发布日期

优先级

APSB22-38

2022 年 8 月 9 日
      

3

摘要

Adobe 发布了 Adobe Commerce 和 Magento Open Source 的安全更新。此更新解决了多个关键重要中等漏洞。   如果这些漏洞遭到恶意利用,可能导致任意代码执行、权限提升和绕过安全功能。

受影响的版本

产品 版本 平台
 Adobe Commerce 2.4.3-p2 及更早版本  
全部
2.3.7-p3 及更早版本   全部
Adobe Commerce
2.4.4 及更早版本  
全部
Magento Open Source

2.4.3-p2 及更早版本       

全部
2.3.7-p3 及更早版本 全部
Magento Open Source
2.4.4 及更早版本  
全部

解决方案

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本。

产品 更新后的版本 平台 优先级 安装说明
Adobe Commerce
2.3.7-p4、2.4.3-p3、2.4.4-p1、2.4.5
全部
3

2.4.x 发行说明

2.3.x 发行说明

Magento Open Source 
2.3.7-p4、2.4.3-p3、2.4.4-p1、2.4.5
全部
3

漏洞详情

漏洞类别 漏洞影响 严重性 利用漏洞需要验证身份? 利用漏洞需要管理员权限?
CVSS 基础评分
CVSS 向量
Magento 错误 ID CVE 编号
XML 注入(又称 XPath 盲注) (CWE-91)
任意代码执行
关键 9.1 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
PRODSECBUG-3095
CVE-2022-34253
对受限目录路径名称的限制不当(“路径遍历”)(CWE-22)
任意代码执行
关键 8.5 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
PRODSECBUG-3081
CVE-2022-34254
不当的输入验证 (CWE-20)
权限升级
关键 否  8.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
PRODSECBUG-3082
CVE-2022-34255
不当的授权 (CWE-285)
权限升级
关键 8.2 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
PRODSECBUG-3093
CVE-2022-34256
跨站点脚本(存储型 XSS)(CWE-79)
任意代码执行
重要 6.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
PRODSECBUG-3079
CVE-2022-34257
跨站点脚本(存储型 XSS)(CWE-79)
任意代码执行
中等 3.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N
PRODSECBUG-3080
CVE-2022-34258
不当的访问控制 (CWE-284)
绕过安全功能
重要 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-34259
不当的授权 (CWE-285)
安全功能旁路
中等
3.7 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
PRODSECBUG-3151
CVE-2022-35692
不当的输入验证 (CWE-20)
权限升级
关键 8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3196
CVE-2022-42344

 

鸣谢

Adobe 衷心感谢以下研究人员报告此问题并与 Adobe 一起保护我们的客户:

  • zb3 (zb3):CVE-2022-34253、CVE-2022-34255、CVE-2022-34256
  • Edgar Boda-Majer (eboda):CVE-2022-34254、CVE-2022-34257
  • Salman Khan (salmanbabuzai):CVE-2022-34258
  • Axel Flamcourt (axfla):CVE-2022-34259、 CVE-2022-35692
  • fqdn - CVE-2022-42344

 

修订

2022 年 10 月 18 日:添加了 CVE-2022-42344

2022 年 8 月 22 日:修改了解决方案表中的优先级

2022 年 8 月 18 日:添加了 CVE-2022-35692

2022 年 8 月 12 日:更新了“利用漏洞需要验证身份”和“利用漏洞需要管理员权限”中的值。



 


有关更多信息,请访问 https://helpx.adobe.com/cn/security.html,或发送电子邮件至 PSIRT@adobe.com。

 Adobe

更快、更轻松地获得帮助

新用户?

Adobe MAX 2024

Adobe MAX
创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX

创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX 2024

Adobe MAX
创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX

创意大会

10 月 14 日至 16 日迈阿密海滩及线上