Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizace zabezpečení pro aplikaci Adobe Commerce | APSB22-38

ID bulletinu

Datum zveřejnění

Priorita

APSB22-38

9. srpna 2022
      

3

Shrnutí

Společnost Adobe vydala aktualizaci zabezpečení pro software Adobe Commerce a Magento Open Source. Tyto aktualizace řeší několik chyb zabezpečení označených jako kritické, závažnéstředně závažné.  Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu, zvyšování oprávnění a obcházení bezpečnostních funkcí.

Postižené verze

Produkt Verze Platforma
 Adobe Commerce 2.4.3-p2 a starší verze  
Vše
2.3.7-p3 a starší verze   Vše
Adobe Commerce
2.4.4 a starší verze  
Vše
Magento Open Source

2.4.3-p2 a starší verze       

Vše
2.3.7-p3 a starší verze Vše
Magento Open Source
2.4.4 a starší verze  
Vše

Řešení

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.

Produkt Aktualizovaná verze Platforma Úroveň priority Pokyny pro instalaci
Adobe Commerce
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Vše
3

Poznámky k verzi 2.4.x

Poznámky k verzi 2.3.x

Magento Open Source 
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Vše
3

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Je ke zneužití vyžadováno ověření? Je ke zneužití nutné mít oprávnění správce?
Základní hodnocení CVSS
Vektor CVSS
ID chyby Magento Čísla CVE
Nabourání souboru typu XML (CWE-91)
Svévolné spuštění kódu
Kritická Ano Ano 9.1 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
PRODSECBUG-3095
CVE-2022-34253
Nesprávné omezení názvu cesty do omezeného adresáře („Procházení cesty“) (CWE-22)
Svévolné spuštění kódu
Kritická Ano Ne 8.5 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
PRODSECBUG-3081
CVE-2022-34254
Nesprávné ověření vstupu (CWE-20)
Zvyšování oprávnění
Kritická Ano Ne  8.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
PRODSECBUG-3082
CVE-2022-34255
Neodpovídající ověření totožnosti (CWE-285)
Zvyšování oprávnění
Kritická Ne Ne 8.2 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
PRODSECBUG-3093
CVE-2022-34256
Skriptování mezi weby (uložený XSS) (CWE-79)
Svévolné spuštění kódu
Důležitá Ne Ne 6.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
PRODSECBUG-3079
CVE-2022-34257
Skriptování mezi weby (uložený XSS) (CWE-79)
Svévolné spuštění kódu
Střední Ano Ano 3.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N
PRODSECBUG-3080
CVE-2022-34258
Nesprávné řízení přístupu (CWE-284)
Obcházení bezpečnostních funkcí
Důležitá Ne Ne 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-34259
Neodpovídající ověření totožnosti (CWE-285)
Obcházení bezpečnostních funkcí
Střední
Ne Ne 3.7 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
PRODSECBUG-3151
CVE-2022-35692
Nesprávné ověření vstupu (CWE-20)
Zvyšování oprávnění
Kritická Ano Ne 8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3196
CVE-2022-42344

 

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:

  • zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
  • Edgar Boda-Majer (eboda) – CVE-2022-34254, CVE-2022-34257
  • Salman Khan (salmanbabuzai) – CVE-2022-34258
  • Axel Flamcourt (axfla) – CVE-2022-34259, CVE-2022-35692
  • fqdn – CVE-2022-42344

 

Revize

18. října 2022: Přidání CVE-2022-42344

22. srpna 2022: Revize úrovní priority v tabulce s řešeními

18. srpna 2022: Přidání CVE-2022-35692

12. srpna 2022: Aktualizace hodnot v částech „Je ke zneužití vyžadováno ověření?“ a „Je ke zneužití nutné mít oprávnění správce?“.



 


Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.

 Adobe

Získejte pomoc rychleji a snáze

Nový uživatel?

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online