Boletín de seguridad de Adobe

Actualización de seguridad disponible para Adobe Commerce | APSB22-38

ID del boletín

Fecha de publicación

Prioridad

APSB38-22

9 de agosto de 2022
      

3

Resumen

Adobe ha publicado una actualización de seguridad para Adobe Commerce y Magento Open Source. Esta actualización soluciona vulnerabilidades críticas, importantes y moderadas.  Su explotación podría dar lugar a la ejecución de código arbitrario, la ampliación de privilegios y la omisión de la función de seguridad.

Versiones afectadas

Producto Versión Plataforma
 Adobe Commerce 2.4.3-p2 y versiones anteriores  
Todas
2.3.7-p3 y versiones anteriores   Todas
Adobe Commerce
2.4.4 y versiones anteriores  
Todas
Magento Open Source

2.4.3-p2 y versiones anteriores       

Todas
2.3.7-p3 y versiones anteriores Todas
Magento Open Source
2.4.4 y versiones anteriores  
Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.

Producto Versión actualizada Plataforma Nivel de prioridad Instrucciones de instalación
Adobe Commerce
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Todas
3

Notas de la versión 2.4.x

Notas de la versión 2.3.x

Magento Open Source 
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Todas
3

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad ¿Se requiere autenticación para la explotación? ¿La explotación requiere privilegios de administrador?
Puntuación base CVSS
Vector CVSS
ID del error de Magento Número(s) CVE
Inyección XML (también conocida como inyección XPath ciega) (CWE-91)
Ejecución de código arbitraria
Crítico 9.1 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
PRODSECBUG-3095
CVE-2022-34253
Limitación incorrecta de un nombre de ruta a un directorio restringido ('Travesía de ruta') (CWE-22)
Ejecución de código arbitraria
Crítico No 8.5 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
PRODSECBUG-3081
CVE-2022-34254
Validación incorrecta de la entrada (CWE-20)
Ampliación de privilegios
Crítica No  8.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
PRODSECBUG-3082
CVE-2022-34255
Autorización incorrecta (CWE-285)
Ampliación de privilegios
Crítica No No 8.2 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
PRODSECBUG-3093
CVE-2022-34256
Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79)
Ejecución de código arbitraria
Importante No No 6.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
PRODSECBUG-3079
CVE-2022-34257
Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79)
Ejecución de código arbitraria
Moderada 3.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N
PRODSECBUG-3080
CVE-2022-34258
Control de acceso incorrecto (CWE-284)
Omisión de la función de seguridad
Importante No No 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-34259
Autorización incorrecta (CWE-285)
Omisión de la función de seguridad
Moderada
No No 3.7 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
PRODSECBUG-3151
CVE-2022-35692
Validación incorrecta de la entrada (CWE-20)
Ampliación de privilegios
Crítica No 8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3196
CVE-2022-42344

 

Reconocimientos

Adobe desea dar las gracias a los siguientes investigadores por informar sobre este problema y por colaborar con Adobe para ayudarnos a proteger a nuestros clientes:

  • zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
  • Edgar Boda-Majer (eboda) - CVE-2022-34254, CVE-2022-34257
  • Salman Khan (salmanbabuzai) - CVE-2022-34258
  • Axel Flamcourt (axfla) - CVE-2022-34259, CVE-2022-35692
  • fqdn - CVE-2022-42344

 

Revisiones

18 de octubre de 2022: Se ha añadido CVE-2022-42344

22 de agosto de 2022: Revisión de clasificación de prioridad en la tabla Solución

18 de agosto de 2022: Se ha añadido CVE-2022-35692

12 de agosto de 2022: Valores actualizados en "Autenticación requerida para explotación" y "La explotación requiere privilegios de administrador."



 


Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea