Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizace zabezpečení pro aplikaci Adobe Commerce | APSB22-48

ID bulletinu

Datum zveřejnění

Priorita

APSB22-48

11. října 2022

3

Shrnutí

Společnost Adobe vydala aktualizaci zabezpečení pro software Adobe Commerce a Magento Open Source. Tato aktualizace řeší kritickou a středně závažnou chybu zabezpečení.  Úspěšné zneužití této chyby by mohlo vést ke svévolnému spuštění kódu a obcházení bezpečnostních funkcí.

Postižené verze

Produkt Verze Platforma
 Adobe Commerce
2.4.4-p1 a starší verze  
Vše
2.4.5 a starší verze  
Vše
2.4.3-p3 a starší verze Vše
Magento Open Source 2.4.4-p1 a starší verze Vše
2.4.5 a starší verze  
Vše
2.4.3-p3 a starší verze
Vše

Poznámka: 

  • 2.4.3-p1 a starší verze nejsou ovlivněny, pokud jsou použity všechny příslušné opravy zabezpečení

Řešení

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.

 

 

Produkt Aktualizovaná verze Platforma Úroveň priority Pokyny pro instalaci
Adobe Commerce
2.4.5-p1 a 2.4.4-p2 
Vše
3 Poznámky k verzi 2.4.x
Magento Open Source 
2.4.5-p1 a 2.4.4-p2 
Vše
3
         
Adobe Commerce
2.4.3-p3_Hotfix
Vše
3 ACSD-47578 patch
Magento Open Source 
2.4.3-p3_Hotfix
Vše
3

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Je ke zneužití vyžadováno ověření? Je ke zneužití nutné mít oprávnění správce?
Základní hodnocení CVSS
Vektor CVSS
ID chyby Magento Čísla CVE
Skriptování mezi weby (uložený XSS) (CWE-79)
Svévolné spuštění kódu
Kritická Ne Ne 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
 PRODSECBUG-3177
CVE-2022-35698
Nesprávné řízení přístupu (CWE-284)
Obcházení bezpečnostních funkcí
Středně závažná Ano Ne 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-35689

 

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:

  • Blaklis (blaklis) – CVE-2022-35698

Revize

12. října 2022: Přidání podrobností o CVE pro CVE-2022-35689

18. října 2022: Přidání ovlivněných/opravených podrobností pro verze 2.4.3.x

 

Revize

22. srpna 2022: Revize úrovní priority v tabulce s řešeními

18. srpna 2022: Přidání CVE-2022-35692

12. srpna 2022: Aktualizace hodnot v částech „Je ke zneužití vyžadováno ověření?“ a „Je ke zneužití nutné mít oprávnění správce?“.

 


Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.

 Adobe

Získejte pomoc rychleji a snáze

Nový uživatel?