Bulletin de sécurité Adobe

Mise à jour de sécurité disponible pour Adobe Commerce | APSB22-38

Référence du bulletin

Date de publication

Priorité 

APSB22-38

9 août 2022
      

3

Récapitulatif

Adobe a publié une mise à jour de sécurité pour Adobe Commerce et Magento Open Source. Cette mise à jour corrige des vulnérabilités critiques, importantes et modérées.  Une exploitation réussie est susceptible d’entraîner l’exécution de code arbitraire, la réaffectation de privilèges et le contournement de fonctions de sécurité.

Versions concernées

Produit Version  Plate-forme
 Adobe Commerce 2.4.3-p2 et versions antérieures  
Toutes
2.3.7-p3 et versions antérieures   Toutes
Adobe Commerce
2.4.4 et versions antérieures  
Toutes
Magento Open Source

2.4.3-p2 et versions antérieures       

Toutes
2.3.7-p3 et versions antérieures Toutes
Magento Open Source
2.4.4 et versions antérieures  
Toutes

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels.

Produit Mise à jour Plate-forme Priorité Instructions d’installation
Adobe Commerce
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Toutes
3

Notes de mise à jour 2.4.x

Notes de mise à jour 2.3.x

Magento Open Source 
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Toutes
3

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Authentification requise pour l’exploitation ? L’exploit nécessite des droits d’administrateur ?
Score de base CVSS
Vecteur CVSS
ID de bogue Magento Numéro(s) CVE
Injection XML (ou injection XPath en aveugle) (CWE-91)
Exécution de code arbitraire
Critique Oui Oui 9.1 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
PRODSECBUG-3095
CVE-2022-34253
Limitation incorrecte d’un nom de chemin d’accès à un répertoire restreint (Path Traversal) (CWE-22)
Exécution de code arbitraire
Critique Oui Non 8.5 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
PRODSECBUG-3081
CVE-2022-34254
Validation d’entrée incorrecte (CWE-20)
Réaffectation de privilèges
Critique Oui Non  8.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
PRODSECBUG-3082
CVE-2022-34255
Autorisation incorrecte (CWE-285)
Réaffectation de privilèges
Critique Non Non 8.2 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
PRODSECBUG-3093
CVE-2022-34256
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante Non Non 6.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
PRODSECBUG-3079
CVE-2022-34257
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Modérée Oui Oui 3.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N
PRODSECBUG-3080
CVE-2022-34258
Contrôle d’accès incorrect (CWE-284)
Contournement des fonctions de sécurité
Importante Non Non 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-34259
Autorisation incorrecte (CWE-285)
Contournement des fonctions de sécurité
Modérée
Non Non 3.7 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
PRODSECBUG-3151
CVE-2022-35692
Validation d’entrée incorrecte (CWE-20)
Réaffectation de privilèges
Critique Oui Non 8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3196
CVE-2022-42344

 

Remerciements

Adobe tient à remercier les chercheurs suivants pour avoir signalé ce problème et joint leurs efforts aux nôtres pour protéger nos clients :

  • zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
  • Edgar Boda-Majer (eboda) - CVE-2022-34254, CVE-2022-34257
  • Salman Khan (salmanbabuzai) - CVE-2022-34258
  • Axel Flamcourt (axfla) - CVE-2022-34259, CVE-2022-35692
  • fqdn - CVE-2022-42344

 

Révisions

18 octobre 2022 : ajout de CVE-2022-42344

22 août 2022 : révision des priorités dans le tableau des solutions

18 août 2022 : ajout de CVE-2022-35692

12 août 2022 : valeurs mises à jour dans « Authentification requise pour l’exploitation » et « L’exploit nécessite des droits d’administrateur ».



 


Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?