Bulletin-ID
Zuletzt aktualisiert am
27. Oktober 2022
Sicherheits-Update für Adobe Commerce verfügbar | APSB22-48
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB22-48 |
11. Oktober 2022 |
3 |
Zusammenfassung
Betroffene Versionen
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Commerce |
2.4.4-p1 und frühere Versionen |
Alle |
| 2.4.5 und frühere Versionen |
Alle |
|
| 2.4.3-p3 und frühere Versionen | Alle | |
| Magento Open Source | 2.4.4-p1 und frühere Versionen | Alle |
| 2.4.5 und frühere Versionen |
Alle |
|
| 2.4.3-p3 und frühere Versionen |
Alle |
Hinweis:
- 2.4.3-p1 und darunter 2.4.3-p1 sind nicht betroffen, wenn alle zutreffenden Sicherheits-Hotfixes angewendet werden
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
| Produkt | Aktualisierte Version | Plattform | Priorität | Installationsanweisungen |
|---|---|---|---|---|
| Adobe Commerce |
2.4.5-p1 und 2.4.4-p2 |
Alle |
3 | 2.4.x – Versionshinweise |
| Magento Open Source |
2.4.5-p1 und 2.4.4-p2 |
Alle |
3 | |
| Adobe Commerce |
2.4.3-p3_Hotfix |
Alle |
3 | ACSD-47578 Patch |
| Magento Open Source |
2.4.3-p3_Hotfix |
Alle |
3 |
Sicherheitslückendetails
| Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | Exploit erfordert Authentifizierung? | Exploit erfordert Admin-Rechte? |
CVSS-Basispunktzahl |
CVSS-Vektor |
Magento-Fehler-ID | CVE-Nummern(n) |
|---|---|---|---|---|---|---|---|---|
| Cross-Site-Scripting (beständiges XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Kritisch | Nein | Nein | 10.0 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3177 |
CVE-2022-35698 |
| Unzulässige Zugriffskontrolle (CWE-284) |
Umgehung der Sicherheitsfunktionen |
Medium | Ja | Nein | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
PRODSECBUG-3180 |
CVE-2022-35689 |
Danksagung
Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und für die Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden:
- Blaklis (blaklis) - CVE-2022-35698
Überarbeitungen
12. Oktober 35689: CVE-Details für -2022-, CVE-2022
18. Oktober 2022: Details zu betroffenen / behobenen Problemen für 2.4.3.x hinzugefügt
Überarbeitungen
22. August 2022: Änderung der Prioritätseinstufung in der Lösungstabelle
18. August 2022: CVE-2022-35692 hinzugefügt
12. August 2022: Aktualisierte Werte in "Authentifizierung für Exploit erforderlich" und "Exploit erfordert Admin-Rechte"
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.
