Bulletin-id
Laatst bijgewerkt op
27 okt. 2022
Beveiligingsupdate beschikbaar voor Adobe Commerce | APSB22-38
|
|
Publicatiedatum |
Prioriteit |
|---|---|---|
|
APSB22-38 |
9 augustus 2022 |
3 |
Samenvatting
Adobe heeft een beveiligingsupdate uitgebracht voor Adobe Commerce en Magento Open Source. Deze update verhelpt kritieke, belangrijke en moderate kwetsbaarheden. Succesvolle exploitatie kan leiden tot het uitvoeren van een willekeurige code, de escalatie van bevoegdheden en het omzeilen van beveiligingsfuncties.
Van toepassing op de volgende versies
| Product | Versie | Platform |
|---|---|---|
| Adobe Commerce | 2.4.3-p2 en eerdere versies |
Alles |
| 2.3.7-p3 en eerdere versies | Alles |
|
| Adobe Commerce |
2.4.4 en eerdere versies |
Alles |
| Magento Open Source |
2.4.3-p2 en eerdere versies |
Alles |
| 2.3.7-p3 en eerdere versies | Alles | |
| Magento Open Source |
2.4.4 en eerdere versies |
Alles |
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.
| Product | Bijgewerkte versie | Platform | Prioriteitsbeoordeling | Installatie-instructies |
|---|---|---|---|---|
| Adobe Commerce |
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5 |
Alles |
3 | |
| Magento Open Source |
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5 |
Alles |
3 |
Details van kwetsbaarheid
| Categorie van kwetsbaarheid | Impact van kwetsbaarheid | Ernst | Authentication vereist voor uitbuiting? | Beheerdersbevoegdheden nodig voor uitbuiting? |
CVSS-basisscore |
CVSS-vector |
Magento Bug ID | CVE-nummer(s) |
|---|---|---|---|---|---|---|---|---|
| XML-injectie (ook bekend als blinde XPath-injectie) (CWE-91) |
Uitvoering van willekeurige code |
Kritiek | Ja | Ja | 9.1 | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3095 |
CVE-2022-34253 |
| Onjuiste beperking van een padnaam naar een beperkte directory (Path Traversal) (CWE-22) |
Uitvoering van willekeurige code |
Kritiek | Ja | Nee | 8.5 | CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N |
PRODSECBUG-3081 |
CVE-2022-34254 |
| Onjuiste invoervalidatie (CWE-20) |
Escalatie van bevoegdheden |
Kritiek | Ja | Nee | 8.3 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
PRODSECBUG-3082 |
CVE-2022-34255 |
| Onjuiste autorisatie (CWE-285) |
Escalatie van bevoegdheden |
Kritiek | Nee | Nee | 8.2 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
PRODSECBUG-3093 |
CVE-2022-34256 |
| Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk | Nee | Nee | 6.1 | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
PRODSECBUG-3079 |
CVE-2022-34257 |
| Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Moderaat | Ja | Ja | 3.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
PRODSECBUG-3080 |
CVE-2022-34258 |
| Onjuist toegangsbeheer (CWE-284) |
Omzeiling van beveiligingsfunctie |
Belangrijk | Nee | Nee | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L |
PRODSECBUG-3180 |
CVE-2022-34259 |
| Onjuiste autorisatie (CWE-285) |
Omzeiling van beveiligingsfunctie |
Moderate |
Nee | Nee | 3.7 | CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
PRODSECBUG-3151 |
CVE-2022-35692 |
| Onjuiste invoervalidatie (CWE-20) |
Escalatie van bevoegdheden |
Kritiek | Ja | Nee | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3196 |
CVE-2022-42344 |
Dankbetuigingen
Adobe bedankt de volgende onderzoekers voor het melden van dit probleem en voor de samenwerking met Adobe om onze klanten te helpen beschermen:
- zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
- Edgar Boda-Majer (eboda) - CVE-2022-34254, CVE-2022-34257
- Salman Khan (salmanbabuzai) - CVE-2022-34258
- Axel Flamcourt (axfla) - CVE-2022-34259, CVE-2022-35692
- fqdn - CVE-2022-42344
Revisies
18 oktober 2022: CVE-2022-42344 toegevoegd
22 augustus 2022: Herziening prioriteitscijfer in oplossingentabel
18 augustus 2022: CVE-2022-35692 toegevoegd
12 augustus 2022: geüpdatete waarden in Authenticatie vereist om te exploiteren en in Voor exploitatie zijn beheerdersrechten vereist.
Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.
