ID bulletinu
Zveřejnění aktualizace zabezpečení pro aplikaci Adobe Commerce | APSB22-38
|
Datum zveřejnění |
Priorita |
---|---|---|
APSB22-38 |
9. srpna 2022 |
3 |
Shrnutí
Společnost Adobe vydala aktualizaci zabezpečení pro software Adobe Commerce a Magento Open Source. Tyto aktualizace řeší několik chyb zabezpečení označených jako kritické, závažné a středně závažné. Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu, zvyšování oprávnění a obcházení bezpečnostních funkcí.
Postižené verze
Produkt | Verze | Platforma |
---|---|---|
Adobe Commerce | 2.4.3-p2 a starší verze |
Vše |
2.3.7-p3 a starší verze | Vše |
|
Adobe Commerce |
2.4.4 a starší verze |
Vše |
Magento Open Source |
2.4.3-p2 a starší verze |
Vše |
2.3.7-p3 a starší verze | Vše | |
Magento Open Source |
2.4.4 a starší verze |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
Produkt | Aktualizovaná verze | Platforma | Úroveň priority | Pokyny pro instalaci |
---|---|---|---|---|
Adobe Commerce |
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5 |
Vše |
3 | |
Magento Open Source |
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5 |
Vše |
3 |
Podrobnosti o chybě zabezpečení
Kategorie chyby zabezpečení | Dopad chyby zabezpečení | Závažnost | Je ke zneužití vyžadováno ověření? | Je ke zneužití nutné mít oprávnění správce? |
Základní hodnocení CVSS |
Vektor CVSS |
ID chyby Magento | Čísla CVE |
---|---|---|---|---|---|---|---|---|
Nabourání souboru typu XML (CWE-91) |
Svévolné spuštění kódu |
Kritická | Ano | Ano | 9.1 | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3095 |
CVE-2022-34253 |
Nesprávné omezení názvu cesty do omezeného adresáře („Procházení cesty“) (CWE-22) |
Svévolné spuštění kódu |
Kritická | Ano | Ne | 8.5 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
PRODSECBUG-3081 |
CVE-2022-34254 |
Nesprávné ověření vstupu (CWE-20) |
Zvyšování oprávnění |
Kritická | Ano | Ne | 8.3 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
PRODSECBUG-3082 |
CVE-2022-34255 |
Neodpovídající ověření totožnosti (CWE-285) |
Zvyšování oprávnění |
Kritická | Ne | Ne | 8.2 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
PRODSECBUG-3093 |
CVE-2022-34256 |
Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | Ne | Ne | 6.1 | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
PRODSECBUG-3079 |
CVE-2022-34257 |
Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Střední | Ano | Ano | 3.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N |
PRODSECBUG-3080 |
CVE-2022-34258 |
Nesprávné řízení přístupu (CWE-284) |
Obcházení bezpečnostních funkcí |
Důležitá | Ne | Ne | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
PRODSECBUG-3180 |
CVE-2022-34259 |
Neodpovídající ověření totožnosti (CWE-285) |
Obcházení bezpečnostních funkcí |
Střední |
Ne | Ne | 3.7 | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
PRODSECBUG-3151 |
CVE-2022-35692 |
Nesprávné ověření vstupu (CWE-20) |
Zvyšování oprávnění |
Kritická | Ano | Ne | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3196 |
CVE-2022-42344 |
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:
- zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
- Edgar Boda-Majer (eboda) – CVE-2022-34254, CVE-2022-34257
- Salman Khan (salmanbabuzai) – CVE-2022-34258
- Axel Flamcourt (axfla) – CVE-2022-34259, CVE-2022-35692
- fqdn – CVE-2022-42344
Revize
18. října 2022: Přidání CVE-2022-42344
22. srpna 2022: Revize úrovní priority v tabulce s řešeními
18. srpna 2022: Přidání CVE-2022-35692
12. srpna 2022: Aktualizace hodnot v částech „Je ke zneužití vyžadováno ověření?“ a „Je ke zneužití nutné mít oprávnění správce?“.
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.