Adobe – sikkerhetsbulletin

Sikkerhetsoppdatering tilgjengelig for Adobe Commerce | APSB22-38

Bulletin-ID

Publiseringsdato

Prioritet

APSB22-38

9. august 2022
      

3

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Commerce og Magento Open Source. Denne oppdateringen løser kritiske, viktige og moderate sårbarheter.  Vellykket utnyttelse kunne føre til vilkårlig kodeutførelse, eskalering av rettigheter og omgåelse av sikkerhetsfunksjon.

Berørte versjoner

Produkt Versjon Plattform
 Adobe Commerce versjon 2.4.3-p2 og tidligere  
Alle
versjon 2.3.7-p3 og tidligere   Alle
Adobe Commerce
Versjon 2.4.4 og tidligere  
Alle
Magento Open Source

versjon 2.4.3-p2 og tidligere       

Alle
versjon 2.3.7-p3 og tidligere Alle
Magento Open Source
Versjon 2.4.4 og tidligere  
Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.

Produkt Oppdatert versjon Plattform Prioritetsklassifisering Installasjonsinstruksjoner
Adobe Commerce
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Alle
3

2.4.x utgivelsesmerknader

2.3.x utgivelsesmerknader

Magento Open Source 
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Alle
3

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad Er godkjenning nødvendig for å bruke produktet? Krever bruk administratorrettigheter?
CVSS-grunnscore
CVSS-vektor
Magento Bug ID CVE-nummer
XML Injection (aka Blind XPath Injection) (CWE-91)
Vilkårlig kjøring av kode
Kritisk Ja Ja 9.1 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
PRODSECBUG-3095
CVE-2022-34253
Feil begrensning av banekrysning til en begrenset katalog (Path Traversal) (CWE-22)
Vilkårlig kjøring av kode
Kritisk Ja No 8.5 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
PRODSECBUG-3081
CVE-2022-34254
Feil inndatavalidering (CWE-20)
Eskalering av rettigheter
Kritisk Ja No  8.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
PRODSECBUG-3082
CVE-2022-34255
Upassende autorisasjon (CWE-285)
Eskalering av rettigheter
Kritisk No No 8.2 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
PRODSECBUG-3093
CVE-2022-34256
Skripting på tvers av nettsteder (lagret XSS) (CWE-79)
Kjøring av vilkårlig kode
Viktig No No 6.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
PRODSECBUG-3079
CVE-2022-34257
Skripting på tvers av nettsteder (lagret XSS) (CWE-79)
Kjøring av vilkårlig kode
Moderat Ja Ja 3.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N
PRODSECBUG-3080
CVE-2022-34258
Feil tilgangskontroll (CWE-284)
Omgåelse av sikkerhetsfunksjon
Viktig No No 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-34259
Upassende autorisasjon (CWE-285)
Omgåelse av sikkerhetsfunksjon
Moderat
No No 3.7 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
PRODSECBUG-3151
CVE-2022-35692
Feil inndatavalidering (CWE-20)
Eskalering av rettigheter
Kritisk Ja No 8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3196
CVE-2022-42344

 

Anerkjennelser

Adobe takker følgende forskere  for at de har rapportert disse problemene, og for at de samarbeider med Adobe så vi kan beskytte kundene våre bedre:

  • zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
  • Edgar Boda-Majer (eboda) - CVE-2022-34254, CVE-2022-34257
  • Salman Khan (salmanbabuzai) - CVE-2022-34258
  • Axel Flamcourt (axfla) - CVE-2022-34259, CVE-2022-35692
  • fqdn - CVE-2022-42344

 

Revisjoner

18. oktober 2022: Vi har lagt til CVE-2022-42344

22. august 2022: Revisjon av prioritetsvurdering i løsningstabellen

18. august 2022: Lagt til CVE-2022-35692

12. august 2022: Oppdaterte verdier i «Godkjenning kreves for utnyttelse» og «Utnyttelse krever administratorrettigheter.»



 


Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-post til PSIRT@adobe.com.

 Adobe

Få hjelp raskere og enklere

Ny bruker?