Bulletin-ID
Sidst opdateret den
27. okt. 2022
Der er en sikkerhedsopdatering til Adobe Commerce | APSB22-38
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB38-22 |
9. august 2022 |
3 |
Resumé
Berørte versioner
| Produkt | Version | Platform |
|---|---|---|
| Adobe Commerce | 2.4.3-p2 og tidligere versioner |
Alle |
| 2.3.7-p3 og tidligere versioner | Alle |
|
| Adobe Commerce |
2.4.4 og tidligere versioner |
Alle |
| Magento Open Source |
2.4.3-p2 og tidligere versioner |
Alle |
| 2.3.7-p3 og tidligere versioner | Alle | |
| Magento Open Source |
2.4.4 og tidligere versioner |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
| Produkt | Opdateret version | Platform | Prioritetsgrad | Installationsvejledning |
|---|---|---|---|---|
| Adobe Commerce |
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5 |
Alle |
3 | |
| Magento Open Source |
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5 |
Alle |
3 |
Sikkerhedsoplysninger
| Sikkerhedskategori | Virkning af sikkerhedsproblem | Alvorlighed | Kræver det autentifikation at udnytte sikkerhedshullet? | Kræver det administratorrettigheder at udnytte sikkerhedshullet? |
CVSS-basisscore |
CVSS-vektor |
Magento Bug ID | CVE-nummer/numre |
|---|---|---|---|---|---|---|---|---|
| XML-injektion (også kendt som blind XPath-injektion) (CWE-91) |
Vilkårlig kodekørsel |
Kritisk | Ja | Ja | 9.1 | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3095 |
CVE-2022-34253 |
| Ukorrekt begrænsning af et stinavn til et begrænset bibliotek ('stioverskridelse') (CWE-22) |
Vilkårlig kodekørsel |
Kritisk | Ja | Nej | 8.5 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
PRODSECBUG-3081 |
CVE-2022-34254 |
| Ukorrekt input-validering (CWE-20) |
Eskalering af rettigheder |
Kritisk | Ja | Nej | 8.3 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
PRODSECBUG-3082 |
CVE-2022-34255 |
| Ukorrekt autorisation (CWE-285) |
Eskalering af rettigheder |
Kritisk | Nej | Nej | 8.2 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
PRODSECBUG-3093 |
CVE-2022-34256 |
| Cross-site scripting (lagret XSS) (CWE-79) |
Vilkårlig kodekørsel |
Vigtig | Nej | Nej | 6.1 | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
PRODSECBUG-3079 |
CVE-2022-34257 |
| Cross-site scripting (lagret XSS) (CWE-79) |
Vilkårlig kodekørsel |
Moderat | Ja | Ja | 3.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N |
PRODSECBUG-3080 |
CVE-2022-34258 |
| Ukorrekt adgangskontrol (CWE-284) |
Sikkerhedsomgåelse |
Vigtigt | Nej | Nej | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
PRODSECBUG-3180 |
CVE-2022-34259 |
| Ukorrekt autorisation (CWE-285) |
Sikkerhedsomgåelse |
Moderat |
Nej | Nej | 3.7 | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
PRODSECBUG-3151 |
CVE-2022-35692 |
| Ukorrekt input-validering (CWE-20) |
Eskalering af rettigheder |
Kritisk | Ja | Nej | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3196 |
CVE-2022-42344 |
Tak til følgende personer
Adobe vil gerne takke følgende researchere at rapportere dette sikkerhedsproblem og for at samarbejde med Adobe for at beskytte vores kunder:
- zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
- Edgar Boda-Majer (eboda) – CVE-2022-34254, CVE-2022-34257
- Salman Khan (salmanbabuzai) – CVE-2022-34258
- Axel Flamcourt (axfla) – CVE-2022-34259, CVE-2022-35692
- fqdn – CVE-2022-42344
Revisioner
18. oktober 2022: Tilføjet CVE-2022-42344
22. august 2022: Revision af prioriteringsklassificering i løsningstabellen
18. august 2022: Tilføjet CVE-2022-35692
12. august 2022: Opdaterede værdier i "Autentifikation krævet til at udnytte sikkerhedshullet" og "Det kræver administratorrettigheder at udnytte sikkerhedshullet."
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.
