Tiedotteen tunnus
Adobe Commercen tietoturvapäivitys | APSB22-38
|
Julkaisupäivä |
Prioriteetti |
---|---|---|
APSB22-38 |
9. elokuuta 2022 |
3 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Commercea ja Magento Open Sourcea varten. Tämä päivitys ratkaisee kriittisiä, tärkeitä ja kohtalaisia haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaiseen koodin suorittamiseen, käyttöoikeuksien laajennukseen ja tietoturvaominaisuuksien ohitukseen.
Versiot
Tuote | Versio | Ympäristö |
---|---|---|
Adobe Commerce | 2.4.3-p2 ja aiemmat versiot |
Kaikki |
2.3.7-p3 ja aiemmat versiot | Kaikki |
|
Adobe Commerce |
2.4.4 ja aiemmat versiot |
Kaikki |
Magento Open Source |
2.4.3-p2 ja aiemmat versiot |
Kaikki |
2.3.7-p3 ja aiemmat versiot | Kaikki | |
Magento Open Source |
2.4.4 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Asennusohjeet |
---|---|---|---|---|
Adobe Commerce |
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5 |
Kaikki |
3 | |
Magento Open Source |
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5 |
Kaikki |
3 |
Lisätietoja haavoittuvuuksista
Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | Vaatiiko hyödyntäminen tunnistautumista? | Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia? |
CVSS-peruspisteet |
CVSS-vektori |
Magenton ohjelmavirheen tunnus | CVE-numerot |
---|---|---|---|---|---|---|---|---|
XML-injektio (eli Blind XPath -injektio) (CWE-91) |
Mielivaltaisen koodin suoritus |
Kriittinen | Kyllä | Kyllä | 9.1 | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3095 |
CVE-2022-34253 |
Polun nimen virheellinen rajoittaminen kiellettyyn hakemistoon (”Polun vaihtuminen”) (CWE-22) |
Mielivaltaisen koodin suoritus |
Kriittinen | Kyllä | Ei | 8.5 | CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N |
PRODSECBUG-3081 |
CVE-2022-34254 |
Virheellinen syötteen tarkistus (CWE-20) |
Käyttöoikeuksien laajennus |
Kriittinen | Kyllä | Ei | 8.3 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
PRODSECBUG-3082 |
CVE-2022-34255 |
Virheellinen valtuutus (CWE-285) |
Käyttöoikeuksien laajennus |
Kriittinen | Ei | Ei | 8.2 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
PRODSECBUG-3093 |
CVE-2022-34256 |
Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä | Ei | Ei | 6.1 | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
PRODSECBUG-3079 |
CVE-2022-34257 |
Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Kohtalainen | Kyllä | Kyllä | 3.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N |
PRODSECBUG-3080 |
CVE-2022-34258 |
Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Tietoturvaominaisuuden ohitus |
Tärkeä | Ei | Ei | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L |
PRODSECBUG-3180 |
CVE-2022-34259 |
Virheellinen valtuutus (CWE-285) |
Tietoturvaominaisuuden ohitus |
Kohtalainen |
Ei | Ei | 3.7 | CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
PRODSECBUG-3151 |
CVE-2022-35692 |
Virheellinen syötteen tarkistus (CWE-20) |
Käyttöoikeuksien laajennus |
Kriittinen | Kyllä | Ei | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3196 |
CVE-2022-42344 |
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita tästä ongelmasta ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
- Edgar Boda-Majer (eboda) - CVE-2022-34254, CVE-2022-34257
- Salman Khan (salmanbabuzai) - CVE-2022-34258
- Axel Flamcourt (axfla) - CVE-2022-34259, CVE-2022-35692
- fqdn – CVE-2022-42344
Versiot
18. lokakuuta 2022: CVE-2022-42344 lisätty
22. elokuuta 2022: Prioriteettiluokituksen tarkistus ratkaisutaulukossa
18. elokuuta 2022: CVE-2022-35692 lisätty
12. elokuuta 2022: Päivitetty arvot kohdissa ”Hyödyntäminen edellyttää tunnistautumista” ja ”Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia”.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.