Bulletin de sécurité Adobe

Mise à jour de sécurité disponible pour Adobe Commerce | APSB22-48

Référence du bulletin

Date de publication

Priorité 

APSB22-48

11 octobre 2022

3

Récapitulatif

Adobe a publié une mise à jour de sécurité pour Adobe Commerce et Magento Open Source. Cette mise à jour corrige une vulnérabilité critique et une vulnérabilité moyenne.  Une exploitation réussie est susceptible d’entraîner l’exécution de code arbitraire et le contournement de fonctions de sécurité.

Versions concernées

Produit Version  Plate-forme
 Adobe Commerce
2.4.4-p1 et versions antérieures  
Toutes
2.4.5 et versions antérieures  
Toutes
2.4.3-p3 et versions antérieures Toutes
Magento Open Source 2.4.4-p1 et versions antérieures Toutes
2.4.5 et versions antérieures  
Toutes
2.4.3-p3 et versions antérieures
Toutes

Remarque : 

  • les versions 2.4.3-p1 et inférieures à 2.4.3-p1 ne sont pas affectées si tous les correctifs de sécurité applicables sont appliqués

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels.

 

 

Produit Mise à jour Plate-forme Priorité Instructions d’installation
Adobe Commerce
2.4.5-p1 et 2.4.4-p2 
Toutes
3 Notes de mise à jour 2.4.x
Magento Open Source 
2.4.5-p1 et 2.4.4-p2 
Toutes
3
         
Adobe Commerce
2.4.3-p3_Hotfix
Toutes
3 Correctif ACSD-47578
Magento Open Source 
2.4.3-p3_Hotfix
Toutes
3

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Authentification requise pour l’exploitation ? L’exploit nécessite des droits d’administrateur ?
Score de base CVSS
Vecteur CVSS
ID de bogue Magento Numéro(s) CVE
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Critique Non Non 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
 PRODSECBUG-3177
CVE-2022-35698
Contrôle d’accès incorrect (CWE-284)
Contournement des fonctions de sécurité
Moyenne Oui Non 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-35689

 

Remerciements

Adobe tient à remercier les chercheurs suivants pour avoir signalé ce problème et joint leurs efforts aux nôtres pour protéger nos clients :

  • Blaklis (blaklis) - CVE-2022-35698

Révisions

12 octobre 2022 : ajout d’informations CVE pour CVE-2022-35689

18 octobre 2022 : ajout d’informations sur les éléments affectés/correctifs pour 2.4.3.x

 

Révisions

22 août 2022 : révision des priorités dans le tableau des solutions

18 août 2022 : ajout de CVE-2022-35692

12 août 2022 : valeurs mises à jour dans « Authentification requise pour l’exploitation » et « L’exploit nécessite des droits d’administrateur ».

 


Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?