Tiedotteen tunnus
Päivitetty viimeksi
27. lokakuuta 2022
Adobe Commercen tietoturvapäivitys | APSB22-48
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB22-48 |
11. lokakuuta 2022 |
3 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Commercea ja Magento Open Sourcea varten. Tämä päivitys ratkaisee kriittisen ja kohtalaisen haavoittuvuuden. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaiseen koodin suorittamiseen ja tietoturvaominaisuuksien ohitukseen.
Versiot
| Tuote | Versio | Ympäristö |
|---|---|---|
| Adobe Commerce |
2.4.4-p1 ja aiemmat versiot |
Kaikki |
| 2.4.5 ja aiemmat versiot |
Kaikki |
|
| 2.4.3-p3 ja aiemmat versiot | Kaikki | |
| Magento Open Source | 2.4.4-p1 ja aiemmat versiot | Kaikki |
| 2.4.5 ja aiemmat versiot |
Kaikki |
|
| 2.4.3-p3 ja aiemmat versiot |
Kaikki |
Huom:
- Ei vaikuta versioon 2.4.3-p1 ja versiota 2.4.3-p1 vanhempiin versioihin, jos kaikki jos kaikki sovellettavat tietoturvakorjaukset on asennettu
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
| Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Asennusohjeet |
|---|---|---|---|---|
| Adobe Commerce |
2.4.5-p1 ja 2.4.4-p2 |
Kaikki |
3 | Version 2.4.x julkaisutiedot |
| Magento Open Source |
2.4.5-p1 ja 2.4.4-p2 |
Kaikki |
3 | |
| Adobe Commerce |
2.4.3-p3_Hotfix |
Kaikki |
3 | ACSD-47578-korjaustiedosto |
| Magento Open Source |
2.4.3-p3_Hotfix |
Kaikki |
3 |
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | Vaatiiko hyödyntäminen tunnistautumista? | Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia? |
CVSS-peruspisteet |
CVSS-vektori |
Magenton ohjelmavirheen tunnus | CVE-numerot |
|---|---|---|---|---|---|---|---|---|
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Kriittinen | Ei | Ei | 10.0 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3177 |
CVE-2022-35698 |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Tietoturvaominaisuuden ohitus |
Medium- | Kyllä | Ei | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L |
PRODSECBUG-3180 |
CVE-2022-35689 |
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita tästä ongelmasta ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Blaklis (blaklis) – CVE-2022-35698
Versiot
12. lokakuuta 2022: Lisätty tiedot haavoittuvuudesta CVE-2022-35689
18. lokakuuta 2022: Lisätty vaikuttamista ja korjauksia koskevat tiedot versiolle 2.4.3.x
Versiot
22. elokuuta 2022: Prioriteettiluokituksen tarkistus ratkaisutaulukossa
18. elokuuta 2022: CVE-2022-35692 lisätty
12. elokuuta 2022: Päivitetyt arvot kohdissa ”Hyödyntäminen edellyttää tunnistautumista” and ”Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia”.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
