Adobe 安全公告

Adobe Commerce 的安全更新 | APSB22-38

公告 ID	发布日期	优先级
APSB22-38	2022 年 8 月 9 日	3

摘要

Adobe 发布了 Adobe Commerce 和 Magento Open Source 的安全更新。此更新解决了多个关键、重要和中等漏洞。   如果这些漏洞遭到恶意利用，可能导致任意代码执行、权限提升和绕过安全功能。

Adobe 按照以下优先级将这些更新分类，并建议用户将其安装的软件更新至最新版本。

产品	更新后的版本	平台	优先级	安装说明
Adobe Commerce	2.3.7-p4、2.4.3-p3、2.4.4-p1、2.4.5	全部	3	2.4.x 发行说明 2.3.x 发行说明
Magento Open Source	2.3.7-p4、2.4.3-p3、2.4.4-p1、2.4.5	全部	3

产品

更新后的版本

平台

优先级

安装说明

Adobe Commerce

2.3.7-p4、2.4.3-p3、2.4.4-p1、2.4.5

全部

3

Magento Open Source

2.3.7-p4、2.4.3-p3、2.4.4-p1、2.4.5

全部

3

漏洞类别	漏洞影响	严重性	利用漏洞需要验证身份？	利用漏洞需要管理员权限？	CVSS 基础评分	CVSS 向量	Magento 错误 ID	CVE 编号
XML 注入（又称 XPath 盲注） (CWE-91)	任意代码执行	关键	是	是	9.1	CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H	PRODSECBUG-3095	CVE-2022-34253
对受限目录路径名称的限制不当（“路径遍历”）(CWE-22)	任意代码执行	关键	是	否	8.5	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N	PRODSECBUG-3081	CVE-2022-34254
不当的输入验证 (CWE-20)	权限升级	关键	是	否	8.3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L	PRODSECBUG-3082	CVE-2022-34255
不当的授权 (CWE-285)	权限升级	关键	否	否	8.2	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N	PRODSECBUG-3093	CVE-2022-34256
跨站点脚本（存储型 XSS）(CWE-79)	任意代码执行	重要	否	否	6.1	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N	PRODSECBUG-3079	CVE-2022-34257
跨站点脚本（存储型 XSS）(CWE-79)	任意代码执行	中等	是	是	3.5	CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N	PRODSECBUG-3080	CVE-2022-34258
不当的访问控制 (CWE-284)	绕过安全功能	重要	否	否	5.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L	PRODSECBUG-3180	CVE-2022-34259
不当的授权 (CWE-285)	安全功能旁路	中等	否	否	3.7	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N	PRODSECBUG-3151	CVE-2022-35692
不当的输入验证 (CWE-20)	权限升级	关键	是	否	8.8	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H	PRODSECBUG-3196	CVE-2022-42344

Adobe 衷心感谢以下研究人员报告此问题并与 Adobe 一起保护我们的客户：

2022 年 10 月 18 日：添加了 CVE-2022-42344

2022 年 8 月 22 日：修改了解决方案表中的优先级

2022 年 8 月 18 日：添加了 CVE-2022-35692

2022 年 8 月 12 日：更新了“利用漏洞需要验证身份”和“利用漏洞需要管理员权限”中的值。

有关更多信息，请访问 https://helpx.adobe.com/cn/security.html，或发送电子邮件至 PSIRT@adobe.com。