Bulletin-ID
Der er en sikkerhedsopdatering til Adobe Commerce | APSB22-48
|
Udgivelsesdato |
Prioritet |
---|---|---|
APSB22-48 |
11. oktober 2022 |
3 |
Resumé
Adobe har frigivet en sikkerhedsopdatering til Adobe Commerce og Magento Open Source. Denne opdatering løser et kritisk og mellemkritisk sikkerhedsproblem. Udnyttelse af disse sikkerhedsproblemer kan medføre vilkårlig kodekørsel og omgåelse af sikkerhedsfunktioner.
Berørte versioner
Produkt | Version | Platform |
---|---|---|
Adobe Commerce |
2.4.4-p1 og tidligere versioner |
Alle |
2.4.5 og tidligere versioner |
Alle |
|
2.4.3-p3 og tidligere versioner | Alle | |
Magento Open Source | 2.4.4-p1 og tidligere versioner | Alle |
2.4.5 og tidligere versioner |
Alle |
|
2.4.3-p3 og tidligere versioner |
Alle |
Bemærk:
- 2.4.3-p1 og ældre versioner end 2.4.3-p1 er ikke berørt, hvis alle de tilgængelige sikkerhedsrettelser er blevet installeret
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
Produkt | Opdateret version | Platform | Prioritetsgrad | Installationsvejledning |
---|---|---|---|---|
Adobe Commerce |
2.4.5-p1 og 2.4.4-p2 |
Alle |
3 | 2.4.x Produktbemærkninger |
Magento Open Source |
2.4.5-p1 og 2.4.4-p2 |
Alle |
3 | |
Adobe Commerce |
2.4.3-p3_Hotfix |
Alle |
3 | ACSD-47578-sikkerhedsrettelsen |
Magento Open Source |
2.4.3-p3_Hotfix |
Alle |
3 |
Sikkerhedsoplysninger
Sikkerhedskategori | Virkning af sikkerhedsproblem | Alvorlighed | Kræver det autentifikation at udnytte sikkerhedshullet? | Kræver det administratorrettigheder at udnytte sikkerhedshullet? |
CVSS-basisscore |
CVSS-vektor |
Magento Bug ID | CVE-nummer/numre |
---|---|---|---|---|---|---|---|---|
Cross-site scripting (lagret XSS) (CWE-79) |
Vilkårlig kodekørsel |
Kritisk | Nej | Nej | 10.0 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3177 |
CVE-2022-35698 |
Ukorrekt adgangskontrol (CWE-284) |
Sikkerhedsomgåelse |
Mellem | Ja | Nej | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
PRODSECBUG-3180 |
CVE-2022-35689 |
Tak til følgende personer
Adobe vil gerne takke følgende researchere at rapportere dette sikkerhedsproblem og for at samarbejde med Adobe for at beskytte vores kunder:
- Blaklis (blaklis) – CVE-2022-35698
Revisioner
12. oktober 2022: Tilføjet CVE-oplysninger om CVE-2022-35689
18. oktober 2022: Tilføjet oplysninger om berørte versioner og deres rettelser for version 2.4.3.x
Revisioner
22. august 2022: Revision af prioriteringsklassificering i løsningstabellen
18. august 2022: Tilføjet CVE-2022-35692
12. august 2022: Opdaterede værdier i "Autentifikation krævet til at udnytte sikkerhedshullet" og "Det kræver administratorrettigheder at udnytte sikkerhedshullet."
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.