Bollettino sulla sicurezza di Adobe

Aggiornamento di sicurezza disponibile per Adobe Commerce | APSB22-48

ID bollettino

Data di pubblicazione

Priorità

APSB22-48

11 ottobre  2022

3

Riepilogo

Adobe ha rilasciato un aggiornamento della sicurezza per Adobe Commerce e  Magento Open Source. Questo aggiornamento risolve una vulnerabilità critica e una di media importanza.  Un eventuale sfruttamento delle vulnerabilità può provocare l'esecuzione di codice arbitrario e l'aggiramento delle funzioni di sicurezza.

Versioni interessate

Prodotto Versione Piattaforma
 Adobe Commerce
2.4.4-p1 e versioni precedenti  
Tutte
2.4.5 e versioni precedenti  
Tutte
2.4.3-p3 e versioni precedenti Tutte
Magento Open Source 2.4.4-p1 e versioni precedenti Tutte
2.4.5 e versioni precedenti  
Tutte
2.4.3-p3 e versioni precedenti
Tutte

Nota: 

  • le versioni 2.4.3-p1 e precedenti a 2.4.3-p1 non sono interessate se sono stati applicati tutti gli hotfix di sicurezza richiesti.

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.

 

 

Prodotto Versione aggiornata Piattaforma Livello di priorità Istruzioni per l’installazione
Adobe Commerce
2.4.5-p1 e 2.4.4-p2 
Tutte
3 Note sulla versione 2.4.x
Magento Open Source 
2.4.5-p1 e 2.4.4-p2 
Tutte
3
         
Adobe Commerce
2.4.3-p3_Hotfix
Tutte
3 Patch ACSD-47578
Magento Open Source 
2.4.3-p3_Hotfix
Tutte
3

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Autenticazione obbligatoria per l'utilizzo? L'utilizzo richiede i privilegi di amministratore?
Punteggio base CVSS
Vettore CVSS
Magento Bug ID Codice/i CVE
Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79)
Esecuzione di codice arbitrario
Critica No No 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
 PRODSECBUG-3177
CVE-2022-35698
Controllo di accesso non corretto (CWE-284)
Aggiramento della funzione di sicurezza
Medium No 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-35689

 

Ringraziamenti

Adobe desidera ringraziare i ricercatori seguenti per la segnalazione del problema e la collaborazione alla protezione dei clienti:

  • Blaklis (blaklis) - CVE-2022-35698

Revisioni

12 ottobre 2022: aggiunti dettagli CVE per CVE-2022-35689

18 ottobre 2022: aggiunti i dettagli dei problemi e delle correzioni per 2.4.3.x

 

Revisioni

22 agosto 2022: revisione del rating di priorità nella tabella delle soluzioni

18 agosto 2022: aggiunto CVE-2022-35692

12 agosto 2022: aggiornati i valori di "Autenticazione obbligatoria per l'utilizzo" e "L'utilizzo richiede i privilegi di amministratore".

 


Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un'e-mail a PSIRT@adobe.com.

 Adobe

Ottieni supporto in modo più facile e veloce

Nuovo utente?

Adobe MAX 2024

Adobe MAX
La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX

La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX 2024

Adobe MAX
La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX

La conferenza sulla creatività

14-16 ottobre Miami Beach e online