Beveiligingsadvies van Adobe

Beveiligingsupdate beschikbaar voor Adobe Commerce | APSB22-38

Bulletin-id

Publicatiedatum

Prioriteit

APSB22-38

9 augustus 2022
      

3

Samenvatting

Adobe heeft een beveiligingsupdate uitgebracht voor Adobe Commerce en Magento Open Source. Deze update verhelpt kritieke, belangrijke en moderate kwetsbaarheden.   Succesvolle exploitatie kan leiden tot het uitvoeren van een willekeurige code, de escalatie van bevoegdheden en het omzeilen van beveiligingsfuncties.

Van toepassing op de volgende versies

Product Versie Platform
 Adobe Commerce 2.4.3-p2  en eerdere versies  
Alles
2.3.7-p3  en eerdere versies   Alles
Adobe Commerce
2.4.4 en eerdere versies  
Alles
Magento Open Source

2.4.3-p2 en eerdere versies       

Alles
2.3.7-p3 en eerdere versies Alles
Magento Open Source
2.4.4 en eerdere versies  
Alles

Oplossing

Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.

Product Bijgewerkte versie Platform Prioriteitsbeoordeling Installatie-instructies
Adobe Commerce
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Alles
3

Releaseopmerkingen voor versie 2.4.x

Releaseopmerkingen voor versie 2.3.x

Magento Open Source 
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Alles
3

Details van kwetsbaarheid

Categorie van kwetsbaarheid Impact van kwetsbaarheid Ernst Authentication vereist voor uitbuiting? Beheerdersbevoegdheden nodig voor uitbuiting?
CVSS-basisscore
CVSS-vector
Magento Bug ID CVE-nummer(s)
XML-injectie (ook bekend als blinde XPath-injectie) (CWE-91)
Uitvoering van willekeurige code
Kritiek Ja Ja 9.1 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
PRODSECBUG-3095
CVE-2022-34253
Onjuiste beperking van een padnaam naar een beperkte directory (Path Traversal) (CWE-22)
Uitvoering van willekeurige code
Kritiek Ja Nee 8.5 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N
PRODSECBUG-3081
CVE-2022-34254
Onjuiste invoervalidatie (CWE-20)
Escalatie van bevoegdheden
Kritiek Ja Nee  8.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
PRODSECBUG-3082
CVE-2022-34255
Onjuiste autorisatie (CWE-285)
Escalatie van bevoegdheden
Kritiek Nee Nee 8.2 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
PRODSECBUG-3093
CVE-2022-34256
Cross-site scripting (opgeslagen XSS) (CWE-79)
Uitvoering van willekeurige code
Belangrijk Nee Nee 6.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
PRODSECBUG-3079
CVE-2022-34257
Cross-site scripting (opgeslagen XSS) (CWE-79)
Uitvoering van willekeurige code
Moderaat Ja Ja 3.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
PRODSECBUG-3080
CVE-2022-34258
Onjuist toegangsbeheer (CWE-284)
Omzeiling van beveiligingsfunctie
Belangrijk Nee Nee 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
PRODSECBUG-3180
CVE-2022-34259
Onjuiste autorisatie (CWE-285)
Omzeiling van beveiligingsfunctie
Moderate
Nee Nee 3.7 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
PRODSECBUG-3151
CVE-2022-35692
Onjuiste invoervalidatie (CWE-20)
Escalatie van bevoegdheden
Kritiek Ja Nee 8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3196
CVE-2022-42344

 

Dankbetuigingen

Adobe bedankt de volgende onderzoekers voor het melden van dit probleem en voor de samenwerking met Adobe om onze klanten te helpen beschermen:

  • zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
  • Edgar Boda-Majer (eboda) - CVE-2022-34254, CVE-2022-34257
  • Salman Khan (salmanbabuzai) - CVE-2022-34258
  • Axel Flamcourt (axfla) - CVE-2022-34259, CVE-2022-35692
  • fqdn - CVE-2022-42344

 

Revisies

18 oktober 2022: CVE-2022-42344 toegevoegd

22 augustus 2022: Herziening prioriteitscijfer in oplossingentabel

18 augustus 2022: CVE-2022-35692 toegevoegd

12 augustus 2022: geüpdatete waarden in Authenticatie vereist om te exploiteren en in Voor exploitatie zijn beheerdersrechten vereist.



 


Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.

 Adobe

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?