Adobe-Sicherheitsbulletin

Sicherheits-Update für Adobe Commerce verfügbar | APSB22-38

Bulletin-ID

Veröffentlichungsdatum

Priorität

APSB22-38

9. August 2022
      

3

Zusammenfassung

Adobe hat ein Sicherheitsupdate für Adobe Commerce und Magento Open Source veröffentlicht. Dieses Update behebt mehrere kritische, wichtige und moderate Schwachstellen.  Eine erfolgreiche Ausnutzung könnte zu willkürlicher Ausführung von Code führen.

Betroffene Versionen

Produkt Version Plattform
 Adobe Commerce 2.4.3-p2 und frühere Versionen  
Alle
2.3.7-p3 und frühere Versionen   Alle
Adobe Commerce
2.4.4 und frühere Versionen  
Alle
Magento Open Source

2.4.3-p2 und frühere Versionen       

Alle
2.3.7-p3 und frühere Versionen Alle
Magento Open Source
2.4.4 und frühere Versionen  
Alle

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.

Produkt Aktualisierte Version Plattform Priorität Installationsanweisungen
Adobe Commerce
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Alle
3

2.4.x – Versionshinweise

2.3.x – Versionshinweise

Magento Open Source 
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Alle
3

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe Exploit erfordert Authentifizierung? Exploit erfordert Admin-Rechte?
CVSS-Basispunktzahl
CVSS-Vektor
Magento-Fehler-ID CVE-Nummern(n)
XML-Injektion (auch Blind XPath-Injektion) (CWE-91)
Willkürliche Ausführung von Code
Kritisch Ja Ja 9.1 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
PRODSECBUG-3095
CVE-2022-34253
Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22)
Willkürliche Ausführung von Code
Kritisch Ja Nein 8.5 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
PRODSECBUG-3081
CVE-2022-34254
Unangemessene Eingabevalidierung (CWE-20)
Berechtigungsausweitung
Kritisch Ja Nein  8.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
PRODSECBUG-3082
CVE-2022-34255
Unzulässige Autorisierung (CWE-285)
Berechtigungsausweitung
Kritisch Nein Nein 8.2 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
PRODSECBUG-3093
CVE-2022-34256
Cross-Site-Scripting (beständiges XSS) (CWE-79)
Willkürliche Ausführung von Code
Wichtig Nein Nein 6.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
PRODSECBUG-3079
CVE-2022-34257
Cross-Site-Scripting (beständiges XSS) (CWE-79)
Willkürliche Ausführung von Code
Mittel Ja Ja 3,5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N
PRODSECBUG-3080
CVE-2022-34258
Unzulässige Zugriffskontrolle (CWE-284)
Umgehung der Sicherheitsfunktionen
Wichtig Nein Nein 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-34259
Unzulässige Autorisierung (CWE-285)
Umgehung der Sicherheitsfunktionen
Mittel
Nein Nein 3.7 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
PRODSECBUG-3151
CVE-2022-35692
Unangemessene Eingabevalidierung (CWE-20)
Berechtigungsausweitung
Kritisch Ja Nein 8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3196
CVE-2022-42344

 

Danksagung

Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und für die Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden:

  • zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
  • Edgar Boda-Majer (eboda) - CVE-2022-34254, CVE-2022-34257
  • Salman Khan (salmanbabuzai) - CVE-2022-34258
  • Axel Flamcourt (axfla) - CVE-2022-34259, CVE-2022-35692
  • fqdn - CVE-2022-42344

 

Überarbeitungen

18. Oktober 2022: CVE-2022-42344 hinzugefügt

22. August 2022: Änderung der Prioritätseinstufung in der Lösungstabelle

18. August 2022: CVE-2022-35692 hinzugefügt

12. August 2022: Aktualisierte Werte in "Authentifizierung für Exploit erforderlich" und "Exploit erfordert Admin-Rechte"



 


Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?