Adobe セキュリティ速報

Adobe Commerce に関するセキュリティアップデート公開 | APSB22-48

情報 ID

公開日

優先度

APSB22-48

2022 年 10 月 11 日

3

要約

Adobe Commerce および Magento オープンソースのセキュリティアップデートが公開されました。このアップデートは、クリティカルおよび重要な脆弱性を解決します。    この脆弱性が悪用されると、任意のコード実行、セキュリティ機能のバイパスなどの問題につながる恐れがあります。

対象のバージョン

製品名 バージョン プラットフォーム
 Adobe Commerce
2.4.4-p1 以前のバージョン  
すべて
2.4.5 以前のバージョン  
すべて
2.4.3-p3 以前のバージョン すべて
Magento Open Source 2.4.4-p1 以前のバージョン すべて
2.4.5 以前のバージョン  
すべて
2.4.3-p3 以前のバージョン
すべて

注意: 

  • 該当するすべてのセキュリティ修正プログラムが適用されている場合、2.4.3-p1 および 2.4.3-p1 以前のバージョンは影響を受けません。

解決策

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

 

 

製品名 アップデートバージョン プラットフォーム 優先度評価 インストール手順
Adobe Commerce
2.4.5-p1 および 2.4.4-p2 
すべて
3 2.4.x リリースノート
Magento Open Source 
2.4.5-p1 および 2.4.4-p2 
すべて
3
         
Adobe Commerce
2.4.3-p3_Hotfix
すべて
3 ACSD-47578 パッチ
Magento Open Source 
2.4.3-p3_Hotfix
すべて
3

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 悪用する場合に認証が必要か? 悪用する場合に管理者権限が必要か?
CVSS 基本スコア
CVSS ベクター
Magento Bug ID CVE 番号
クロスサイトスクリプティング (保存済み XSS) (CWE-79)
任意のコード実行
クリティカル いいえ いいえ 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
 PRODSECBUG-3177
CVE-2022-35698
不正なアクセス制御 (CWE-284)
セキュリティ機能のバイパス
Medium (M) はい いいえ 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-35689

 

謝辞

この問題を報告し、ユーザーの保護にご協力いただいた以下の研究者の皆様に対し、アドビより厚く御礼を申し上げます。

  • Blaklis 氏(blaklis)- CVE-2022-35698

更新履歴

2022年 10 月 12 日:CVE-2022-35689 の CVE 詳細情報を追加

2022 年 10 月 18 日:2.4.3.x の影響/修正に関する詳細情報を追加

 

更新履歴

2022 年 8 月 22 日:ソリューションテーブルの優先度評価の改正

2022 年 8 月 18 日:CVE-2022-35692 追加

2022 年 8 月 12 日:「利用する場合に必要な認証」および「利用する場合に必要な管理者権限」の値が更新されました。

 


詳しくは、https://helpx.adobe.com/jp/security.html を参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。

 Adobe

ヘルプをすばやく簡単に入手

新規ユーザーの場合