Adobe sikkerhedsbulletin

Der er en sikkerhedsopdatering til Adobe Commerce | APSB22-48

Bulletin-ID

Udgivelsesdato

Prioritet

APSB22-48

11. oktober 2022

3

Resumé

Adobe har frigivet en sikkerhedsopdatering til Adobe Commerce og Magento Open Source. Denne opdatering løser et kritisk og mellemkritisk sikkerhedsproblem.  Udnyttelse af disse sikkerhedsproblemer kan medføre vilkårlig kodekørsel og omgåelse af sikkerhedsfunktioner.

Berørte versioner

Produkt Version Platform
 Adobe Commerce
2.4.4-p1 og tidligere versioner  
Alle
2.4.5 og tidligere versioner  
Alle
2.4.3-p3 og tidligere versioner Alle
Magento Open Source 2.4.4-p1 og tidligere versioner Alle
2.4.5 og tidligere versioner  
Alle
2.4.3-p3 og tidligere versioner
Alle

Bemærk: 

  • 2.4.3-p1 og ældre versioner end 2.4.3-p1 er ikke berørt, hvis alle de tilgængelige sikkerhedsrettelser er blevet installeret

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.

 

 

Produkt Opdateret version Platform Prioritetsgrad Installationsvejledning
Adobe Commerce
2.4.5-p1 og 2.4.4-p2 
Alle
3 2.4.x Produktbemærkninger
Magento Open Source 
2.4.5-p1 og 2.4.4-p2 
Alle
3
         
Adobe Commerce
2.4.3-p3_Hotfix
Alle
3 ACSD-47578-sikkerhedsrettelsen
Magento Open Source 
2.4.3-p3_Hotfix
Alle
3

Sikkerhedsoplysninger

Sikkerhedskategori Virkning af sikkerhedsproblem Alvorlighed Kræver det autentifikation at udnytte sikkerhedshullet? Kræver det administratorrettigheder at udnytte sikkerhedshullet?
CVSS-basisscore
CVSS-vektor
Magento Bug ID CVE-nummer/numre
Cross-site scripting (lagret XSS) (CWE-79)
Vilkårlig kodekørsel
Kritisk Nej Nej 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
 PRODSECBUG-3177
CVE-2022-35698
Ukorrekt adgangskontrol (CWE-284)
Sikkerhedsomgåelse
Mellem Ja Nej 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-35689

 

Tak til følgende personer

Adobe vil gerne takke følgende researchere at rapportere dette sikkerhedsproblem og for at samarbejde med Adobe for at beskytte vores kunder:

  • Blaklis (blaklis) – CVE-2022-35698

Revisioner

12. oktober 2022: Tilføjet CVE-oplysninger om CVE-2022-35689

18. oktober 2022: Tilføjet oplysninger om berørte versioner og deres rettelser for version 2.4.3.x

 

Revisioner

22. august 2022: Revision af prioriteringsklassificering i løsningstabellen

18. august 2022: Tilføjet CVE-2022-35692

12. august 2022: Opdaterede værdier i "Autentifikation krævet til at udnytte sikkerhedshullet" og "Det kræver administratorrettigheder at udnytte sikkerhedshullet."

 


Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.

 Adobe

Få hjælp hurtigere og nemmere

Ny bruger?