Adoben tietoturvatiedote

Adobe Commercen tietoturvapäivitys | APSB22-38

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

APSB22-38

9. elokuuta 2022
      

3

Yhteenveto

Adobe on julkaissut tietoturvapäivityksen Adobe Commercea ja Magento Open Sourcea varten. Tämä päivitys ratkaisee kriittisiä, tärkeitä ja kohtalaisia haavoittuvuuksia.  Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaiseen koodin suorittamiseen, käyttöoikeuksien laajennukseen ja tietoturvaominaisuuksien ohitukseen.

Versiot

Tuote Versio Ympäristö
 Adobe Commerce 2.4.3-p2 ja aiemmat versiot  
Kaikki
2.3.7-p3 ja aiemmat versiot   Kaikki
Adobe Commerce
2.4.4 ja aiemmat versiot  
Kaikki
Magento Open Source

2.4.3-p2 ja aiemmat versiot       

Kaikki
2.3.7-p3 ja aiemmat versiot Kaikki
Magento Open Source
2.4.4 ja aiemmat versiot  
Kaikki

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.

Tuote Päivitetty versio Ympäristö Prioriteettiluokitus Asennusohjeet
Adobe Commerce
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Kaikki
3

Version 2.4.x julkaisutiedot

Version 2.3.x julkaisutiedot

Magento Open Source 
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Kaikki
3

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus Vaatiiko hyödyntäminen tunnistautumista? Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia?
CVSS-peruspisteet
CVSS-vektori
Magenton ohjelmavirheen tunnus CVE-numerot
XML-injektio (eli Blind XPath -injektio) (CWE-91)
Mielivaltaisen koodin suoritus
Kriittinen Kyllä Kyllä 9.1 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
PRODSECBUG-3095
CVE-2022-34253
Polun nimen virheellinen rajoittaminen kiellettyyn hakemistoon (”Polun vaihtuminen”) (CWE-22)
Mielivaltaisen koodin suoritus
Kriittinen Kyllä Ei 8.5 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N
PRODSECBUG-3081
CVE-2022-34254
Virheellinen syötteen tarkistus (CWE-20)
Käyttöoikeuksien laajennus
Kriittinen Kyllä Ei  8.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
PRODSECBUG-3082
CVE-2022-34255
Virheellinen valtuutus (CWE-285)
Käyttöoikeuksien laajennus
Kriittinen Ei Ei 8.2 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
PRODSECBUG-3093
CVE-2022-34256
Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79)
Mielivaltaisen koodin suoritus
Tärkeä Ei Ei 6.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
PRODSECBUG-3079
CVE-2022-34257
Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79)
Mielivaltaisen koodin suoritus
Kohtalainen Kyllä Kyllä 3.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N
PRODSECBUG-3080
CVE-2022-34258
Sopimaton käyttöoikeuksien valvonta (CWE-284)
Tietoturvaominaisuuden ohitus
Tärkeä Ei Ei 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
PRODSECBUG-3180
CVE-2022-34259
Virheellinen valtuutus (CWE-285)
Tietoturvaominaisuuden ohitus
Kohtalainen
Ei Ei 3.7 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
PRODSECBUG-3151
CVE-2022-35692
Virheellinen syötteen tarkistus (CWE-20)
Käyttöoikeuksien laajennus
Kriittinen Kyllä Ei 8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3196
CVE-2022-42344

 

Kiitokset

Adobe haluaa kiittää seuraavia tutkijoita tästä ongelmasta ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
  • Edgar Boda-Majer (eboda) - CVE-2022-34254, CVE-2022-34257
  • Salman Khan (salmanbabuzai) - CVE-2022-34258
  • Axel Flamcourt (axfla) - CVE-2022-34259, CVE-2022-35692
  • fqdn – CVE-2022-42344

 

Versiot

18. lokakuuta 2022: CVE-2022-42344 lisätty

22. elokuuta 2022: Prioriteettiluokituksen tarkistus ratkaisutaulukossa

18. elokuuta 2022: CVE-2022-35692 lisätty

12. elokuuta 2022: Päivitetty arvot kohdissa ”Hyödyntäminen edellyttää tunnistautumista” ja ”Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia”.



 


Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.

 Adobe

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?