Adoben tietoturvatiedote

Adobe Commercen tietoturvapäivitys | APSB22-48

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

APSB22-48

11. lokakuuta 2022

3

Yhteenveto

Adobe on julkaissut tietoturvapäivityksen Adobe Commercea ja Magento Open Sourcea varten. Tämä päivitys ratkaisee kriittisen ja kohtalaisen haavoittuvuuden.  Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaiseen koodin suorittamiseen ja tietoturvaominaisuuksien ohitukseen.

Versiot

Tuote Versio Ympäristö
 Adobe Commerce
2.4.4-p1 ja aiemmat versiot  
Kaikki
2.4.5 ja aiemmat versiot  
Kaikki
2.4.3-p3 ja aiemmat versiot Kaikki
Magento Open Source 2.4.4-p1 ja aiemmat versiot Kaikki
2.4.5 ja aiemmat versiot  
Kaikki
2.4.3-p3 ja aiemmat versiot
Kaikki

Huom: 

  • Ei vaikuta versioon 2.4.3-p1 ja versiota 2.4.3-p1 vanhempiin versioihin, jos kaikki jos kaikki sovellettavat tietoturvakorjaukset on asennettu

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.

 

 

Tuote Päivitetty versio Ympäristö Prioriteettiluokitus Asennusohjeet
Adobe Commerce
2.4.5-p1 ja 2.4.4-p2 
Kaikki
3 Version 2.4.x julkaisutiedot
Magento Open Source 
2.4.5-p1 ja 2.4.4-p2 
Kaikki
3
         
Adobe Commerce
2.4.3-p3_Hotfix
Kaikki
3 ACSD-47578-korjaustiedosto
Magento Open Source 
2.4.3-p3_Hotfix
Kaikki
3

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus Vaatiiko hyödyntäminen tunnistautumista? Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia?
CVSS-peruspisteet
CVSS-vektori
Magenton ohjelmavirheen tunnus CVE-numerot
Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79)
Mielivaltaisen koodin suoritus
Kriittinen Ei Ei 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
 PRODSECBUG-3177
CVE-2022-35698
Sopimaton käyttöoikeuksien valvonta (CWE-284)
Tietoturvaominaisuuden ohitus
Medium- Kyllä Ei 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
PRODSECBUG-3180
CVE-2022-35689

 

Kiitokset

Adobe haluaa kiittää seuraavia tutkijoita tästä ongelmasta ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • Blaklis (blaklis) – CVE-2022-35698

Versiot

12. lokakuuta 2022: Lisätty tiedot haavoittuvuudesta CVE-2022-35689

18. lokakuuta 2022: Lisätty vaikuttamista ja korjauksia koskevat tiedot versiolle 2.4.3.x

 

Versiot

22. elokuuta 2022: Prioriteettiluokituksen tarkistus ratkaisutaulukossa

18. elokuuta 2022: CVE-2022-35692 lisätty

12. elokuuta 2022: Päivitetyt arvot kohdissa ”Hyödyntäminen edellyttää tunnistautumista” and ”Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia”.

 


Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.

 Adobe

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?

Adobe MAX 2024

Adobe MAX
Luovuuskonferenssi

14.–16.10. Miami Beach ja verkossa

Adobe MAX

Luovuuskonferenssi

14.–16.10. Miami Beach ja verkossa

Adobe MAX 2024

Adobe MAX
Luovuuskonferenssi

14.–16.10. Miami Beach ja verkossa

Adobe MAX

Luovuuskonferenssi

14.–16.10. Miami Beach ja verkossa