Adobe セキュリティ速報

Adobe Commerce に関するセキュリティアップデート公開 | APSB22-38

情報 ID

公開日

優先度

APSB22-38

2022 年 8 月 9 日
      

3

要約

Adobe Commerce および Magento オープンソースのセキュリティアップデートが公開されました。このアップデートは、クリティカル重要および中度の脆弱性を解決します。  この脆弱性が悪用されると、任意のコード実行、権限昇格、セキュリティ機能のバイパスなどの問題につながる恐れがあります。

対象のバージョン

製品名 バージョン プラットフォーム
 Adobe Commerce 2.4.3-p2 以前のバージョン  
すべて
2.3.7-p3 以前のバージョン   すべて
Adobe Commerce
2.4.4 以前のバージョン  
すべて
Magento Open Source

2.4.3-p2 以前のバージョン       

すべて
2.3.7-p3 以前のバージョン すべて
Magento Open Source
2.4.4 以前のバージョン  
すべて

解決策

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 アップデートバージョン プラットフォーム 優先度評価 インストール手順
Adobe Commerce
2.3.7-p4、2.4.3-p3、2.4.4-p1、2.4.5
すべて
3

2.4.x リリースノート

2.3.x リリースノート

Magento Open Source 
2.3.7-p4、2.4.3-p3、2.4.4-p1、2.4.5
すべて
3

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 悪用する場合に認証が必要か? 悪用する場合に管理者権限が必要か?
CVSS 基本スコア
CVSS ベクター
Magento Bug ID CVE 番号
XML インジェクション(別名:Blind XPath インジェクション)(CWE-91
任意のコード実行
クリティカル はい はい 9.1 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
PRODSECBUG-3095
CVE-2022-34253
制限付きディレクトリへのパス名の制限(「パストラバーサル」)が正しくありません。(CWE-22
任意のコード実行
クリティカル はい いいえ 8.5 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
PRODSECBUG-3081
CVE-2022-34254
不適切な入力検証(CWE-20)
権限昇格
重大 はい いいえ  8.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
PRODSECBUG-3082
CVE-2022-34255
不正な認証(CWE-285
権限昇格
重大 いいえ いいえ 8.2 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
PRODSECBUG-3093
CVE-2022-34256
クロスサイトスクリプティング (保存済み XSS) (CWE-79)
任意のコード実行
重要 いいえ いいえ 6.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
PRODSECBUG-3079
CVE-2022-34257
クロスサイトスクリプティング (保存済み XSS) (CWE-79)
任意のコード実行
中度 はい はい 3.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N
PRODSECBUG-3080
CVE-2022-34258
不正なアクセス制御 (CWE-284)
セキュリティ機能のバイパス
重要 いいえ いいえ 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-34259
不正な認証(CWE-285
セキュリティ機能のバイパス
中度
いいえ いいえ 3.7 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
PRODSECBUG-3151
CVE-2022-35692
不適切な入力検証(CWE-20)
権限昇格
重大 はい いいえ 8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3196
CVE-2022-42344

 

謝辞

この問題を報告し、ユーザーの保護にご協力いただいた以下の研究者の皆様に対し、アドビより厚く御礼を申し上げます。

  • zb3 (zb3) -- CVE-2022-34253、CVE-2022-34255、CVE-2022-34256
  • Edgar Boda-Majer 氏(eboda)- CVE-2022-34254、CVE-2022-34257
  • Salman Khan 氏(salmanbabuzai)- CVE-2022-34258
  • Axel Flamcourt 氏(axfla)- CVE-2022-34259、 CVE-2022-35692
  • fqdn - CVE-2022-42344

 

更新履歴

2022 年 10 月 18 日:CVE-2022-42344 を追加

2022 年 8 月 22 日:ソリューションテーブルの優先度評価の改正

2022 年 8 月 18 日:CVE-2022-35692 追加

2022 年 8 月 12 日:「利用する場合に必要な認証」および「利用する場合に必要な管理者権限」の値が更新されました。



 


詳しくは、https://helpx.adobe.com/jp/security.html を参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。

 Adobe

ヘルプをすばやく簡単に入手

新規ユーザーの場合

Adobe MAX 2024

Adobe MAX
クリエイティブカンファレンス

10 月 14 日~ 16 日 マイアミビーチおよびオンライン

Adobe MAX

クリエイティブカンファレンス

10 月 14 日~ 16 日 マイアミビーチおよびオンライン

Adobe MAX 2024

Adobe MAX
クリエイティブカンファレンス

10 月 14 日~ 16 日 マイアミビーチおよびオンライン

Adobe MAX

クリエイティブカンファレンス

10 月 14 日~ 16 日 マイアミビーチおよびオンライン