Bulletin-ID
Zuletzt aktualisiert am
27. Oktober 2022
Sicherheits-Update für Adobe Commerce verfügbar | APSB22-38
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB22-38 |
9. August 2022 |
3 |
Zusammenfassung
Betroffene Versionen
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Commerce | 2.4.3-p2 und frühere Versionen |
Alle |
| 2.3.7-p3 und frühere Versionen | Alle |
|
| Adobe Commerce |
2.4.4 und frühere Versionen |
Alle |
| Magento Open Source |
2.4.3-p2 und frühere Versionen |
Alle |
| 2.3.7-p3 und frühere Versionen | Alle | |
| Magento Open Source |
2.4.4 und frühere Versionen |
Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
| Produkt | Aktualisierte Version | Plattform | Priorität | Installationsanweisungen |
|---|---|---|---|---|
| Adobe Commerce |
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5 |
Alle |
3 | |
| Magento Open Source |
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5 |
Alle |
3 |
Sicherheitslückendetails
| Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | Exploit erfordert Authentifizierung? | Exploit erfordert Admin-Rechte? |
CVSS-Basispunktzahl |
CVSS-Vektor |
Magento-Fehler-ID | CVE-Nummern(n) |
|---|---|---|---|---|---|---|---|---|
| XML-Injektion (auch Blind XPath-Injektion) (CWE-91) |
Willkürliche Ausführung von Code |
Kritisch | Ja | Ja | 9.1 | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3095 |
CVE-2022-34253 |
| Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22) |
Willkürliche Ausführung von Code |
Kritisch | Ja | Nein | 8.5 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
PRODSECBUG-3081 |
CVE-2022-34254 |
| Unangemessene Eingabevalidierung (CWE-20) |
Berechtigungsausweitung |
Kritisch | Ja | Nein | 8.3 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
PRODSECBUG-3082 |
CVE-2022-34255 |
| Unzulässige Autorisierung (CWE-285) |
Berechtigungsausweitung |
Kritisch | Nein | Nein | 8.2 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
PRODSECBUG-3093 |
CVE-2022-34256 |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig | Nein | Nein | 6.1 | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
PRODSECBUG-3079 |
CVE-2022-34257 |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Mittel | Ja | Ja | 3,5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N |
PRODSECBUG-3080 |
CVE-2022-34258 |
| Unzulässige Zugriffskontrolle (CWE-284) |
Umgehung der Sicherheitsfunktionen |
Wichtig | Nein | Nein | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
PRODSECBUG-3180 |
CVE-2022-34259 |
| Unzulässige Autorisierung (CWE-285) |
Umgehung der Sicherheitsfunktionen |
Mittel |
Nein | Nein | 3.7 | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
PRODSECBUG-3151 |
CVE-2022-35692 |
| Unangemessene Eingabevalidierung (CWE-20) |
Berechtigungsausweitung |
Kritisch | Ja | Nein | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3196 |
CVE-2022-42344 |
Danksagung
Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und für die Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden:
- zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
- Edgar Boda-Majer (eboda) - CVE-2022-34254, CVE-2022-34257
- Salman Khan (salmanbabuzai) - CVE-2022-34258
- Axel Flamcourt (axfla) - CVE-2022-34259, CVE-2022-35692
- fqdn - CVE-2022-42344
Überarbeitungen
18. Oktober 2022: CVE-2022-42344 hinzugefügt
22. August 2022: Änderung der Prioritätseinstufung in der Lösungstabelle
18. August 2022: CVE-2022-35692 hinzugefügt
12. August 2022: Aktualisierte Werte in "Authentifizierung für Exploit erforderlich" und "Exploit erfordert Admin-Rechte"
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.
