Bulletin-ID
Sist oppdatert
27. okt. 2022
Sikkerhetsoppdatering tilgjengelig for Adobe Commerce | APSB22-48
|
|
Publiseringsdato |
Prioritet |
|---|---|---|
|
APSB22-48 |
11. oktober 2022 |
3 |
Sammendrag
Berørte versjoner
| Produkt | Versjon | Plattform |
|---|---|---|
| Adobe Commerce |
Versjon 2.4.4-p1 og tidligere |
Alle |
| Versjon 2.4.5 og tidligere |
Alle |
|
| Versjon 2.4.3-p3 og tidligere | Alle | |
| Magento Open Source | Versjon 2.4.4-p1 og tidligere | Alle |
| Versjon 2.4.5 og tidligere |
Alle |
|
| Versjon 2.4.3-p3 og tidligere |
Alle |
Merk:
- 2.4.3-p1 og under 2.4.3-p1 påvirkes ikke hvis alle gjeldende hurtigreparasjoner for sikkerhet brukes
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
| Produkt | Oppdatert versjon | Plattform | Prioritetsklassifisering | Installasjonsinstruksjoner |
|---|---|---|---|---|
| Adobe Commerce |
2.4.5-p1 og 2.4.4-p2 |
Alle |
3 | 2.4.x utgivelsesmerknader |
| Magento Open Source |
2.4.5-p1 og 2.4.4-p2 |
Alle |
3 | |
| Adobe Commerce |
2.4.3-p3_Hotfix |
Alle |
3 | ACSD-47578-oppdatering |
| Magento Open Source |
2.4.3-p3_Hotfix |
Alle |
3 |
Informasjon om sikkerhetsproblemet
| Sikkerhetsproblemkategori | Sikkerhetsprobleminnvirkning | Alvorlighetsgrad | Er godkjenning nødvendig for å bruke produktet? | Krever bruk administratorrettigheter? |
CVSS-grunnscore |
CVSS-vektor |
Magento Bug ID | CVE-nummer |
|---|---|---|---|---|---|---|---|---|
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Kritisk | No | No | 10.0 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3177 |
CVE-2022-35698 |
| Feil tilgangskontroll (CWE-284) |
Omgåelse av sikkerhetsfunksjon |
Medium | Ja | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
PRODSECBUG-3180 |
CVE-2022-35689 |
Anerkjennelser
Adobe takker følgende forskere for at de har rapportert disse problemene, og for at de samarbeider med Adobe så vi kan beskytte kundene våre bedre:
- Blaklis (blaklis) - CVE-2022-35698
Revisjoner
12. oktober 2022: Vi har lagt til CVE-detaljer for CVE-2022-35689
18. oktober 2022: Lagt til berørte/løsningsdetaljer for 2.4.3.x
Revisjoner
22. august 2022: Revisjon av prioritetsvurdering i løsningstabellen
18. august 2022: Lagt til CVE-2022-35692
12. august 2022: Oppdaterte verdier i «Godkjenning kreves for utnyttelse» og «Utnyttelse krever administratorrettigheter.»
Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-post til PSIRT@adobe.com.
