ID bulletinu
Naposledy aktualizováno
27. 10. 2022
Zveřejnění aktualizace zabezpečení pro aplikaci Adobe Commerce | APSB22-48
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB22-48 |
11. října 2022 |
3 |
Shrnutí
Společnost Adobe vydala aktualizaci zabezpečení pro software Adobe Commerce a Magento Open Source. Tato aktualizace řeší kritickou a středně závažnou chybu zabezpečení. Úspěšné zneužití této chyby by mohlo vést ke svévolnému spuštění kódu a obcházení bezpečnostních funkcí.
Postižené verze
| Produkt | Verze | Platforma |
|---|---|---|
| Adobe Commerce |
2.4.4-p1 a starší verze |
Vše |
| 2.4.5 a starší verze |
Vše |
|
| 2.4.3-p3 a starší verze | Vše | |
| Magento Open Source | 2.4.4-p1 a starší verze | Vše |
| 2.4.5 a starší verze |
Vše |
|
| 2.4.3-p3 a starší verze |
Vše |
Poznámka:
- 2.4.3-p1 a starší verze nejsou ovlivněny, pokud jsou použity všechny příslušné opravy zabezpečení
Řešení
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
| Produkt | Aktualizovaná verze | Platforma | Úroveň priority | Pokyny pro instalaci |
|---|---|---|---|---|
| Adobe Commerce |
2.4.5-p1 a 2.4.4-p2 |
Vše |
3 | Poznámky k verzi 2.4.x |
| Magento Open Source |
2.4.5-p1 a 2.4.4-p2 |
Vše |
3 | |
| Adobe Commerce |
2.4.3-p3_Hotfix |
Vše |
3 | ACSD-47578 patch |
| Magento Open Source |
2.4.3-p3_Hotfix |
Vše |
3 |
Podrobnosti o chybě zabezpečení
| Kategorie chyby zabezpečení | Dopad chyby zabezpečení | Závažnost | Je ke zneužití vyžadováno ověření? | Je ke zneužití nutné mít oprávnění správce? |
Základní hodnocení CVSS |
Vektor CVSS |
ID chyby Magento | Čísla CVE |
|---|---|---|---|---|---|---|---|---|
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Kritická | Ne | Ne | 10.0 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3177 |
CVE-2022-35698 |
| Nesprávné řízení přístupu (CWE-284) |
Obcházení bezpečnostních funkcí |
Středně závažná | Ano | Ne | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
PRODSECBUG-3180 |
CVE-2022-35689 |
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:
- Blaklis (blaklis) – CVE-2022-35698
Revize
12. října 2022: Přidání podrobností o CVE pro CVE-2022-35689
18. října 2022: Přidání ovlivněných/opravených podrobností pro verze 2.4.3.x
Revize
22. srpna 2022: Revize úrovní priority v tabulce s řešeními
18. srpna 2022: Přidání CVE-2022-35692
12. srpna 2022: Aktualizace hodnot v částech „Je ke zneužití vyžadováno ověření?“ a „Je ke zneužití nutné mít oprávnění správce?“.
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.
