Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępna aktualizacja zabezpieczeń programu Adobe Commerce | APSB22-38

ID biuletynu

Data publikacji

Priorytet

APSB22-38

9 sierpnia 2022
      

3

Podsumowanie

Firma Adobe wydała aktualizację zabezpieczeń programów Adobe Commerce i Magento Open Source. Ta aktualizacja usuwa krytyczne, istotne i umiarkowanie ważne luki w zabezpieczeniach.   Luki te mogą umożliwić wykonanie dowolnego kodu, eskalację uprawnień i ominięcie funkcji zabezpieczeń.

Zagrożone wersje

Produkt Wersja Platforma
 Adobe Commerce 2.4.3-p2 i starsze wersje  
Wszystkie
2.3.7-p3 i starsze wersje   Wszystkie
Adobe Commerce
2.4.4 i starsze wersje  
Wszystkie
Magento Open Source

2.4.3-p2 i starsze wersje       

Wszystkie
2.3.7-p3 i starsze wersje Wszystkie
Magento Open Source
2.4.4 i starsze wersje  
Wszystkie

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.

Produkt Zaktualizowana wersja Platforma Ocena priorytetu Instrukcje instalacji
Adobe Commerce
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Wszystkie
3

Uwagi na temat wersji 2.4.x

Uwagi na temat wersji 2.3.x

Magento Open Source 
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5
Wszystkie
3

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Ostrość Uwierzytelnienie wymagane do wykorzystania? Wykorzystanie wymaga uprawnień administratora?
Podstawowy wynik CVSS
Wektor CVSS
ID błędu Magento Numer(y) CVE
Wstrzykiwanie kodu XML (znale też jako Blind XPath Injection) (CWE-91)
Wykonanie dowolnego kodu
Krytyczna Tak Tak 9.1 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
PRODSECBUG-3095
CVE-2022-34253
Niewłaściwe ograniczenie nazwy ścieżki do katalogu z ograniczeniami („przeglądanie ścieżek”) (CWE-22)
Wykonanie dowolnego kodu
Krytyczna Tak Nie 8.5 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
PRODSECBUG-3081
CVE-2022-34254
Nieprawidłowa walidacja danych wejściowych (CWE-20)
Eskalacja uprawnień
Krytyczna Tak Nie  8.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
PRODSECBUG-3082
CVE-2022-34255
Niewłaściwa autoryzacja (CWE-285)
Eskalacja uprawnień
Krytyczna Nie Nie 8.2 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
PRODSECBUG-3093
CVE-2022-34256
Tworzenie skryptów międzywitrynowych (zapisane XSS) (CWE-79)
Wykonanie dowolnego kodu
Istotna Nie Nie 6.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
PRODSECBUG-3079
CVE-2022-34257
Tworzenie skryptów międzywitrynowych (zapisane XSS) (CWE-79)
Wykonanie dowolnego kodu
Umiarkowanie ważna Tak Tak 3.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N
PRODSECBUG-3080
CVE-2022-34258
Niewłaściwa kontrola dostępu (CWE-284)
Obejście funkcji bezpieczeństwa
Istotna Nie Nie 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-34259
Niewłaściwa autoryzacja (CWE-285)
Obejście funkcji bezpieczeństwa
Umiarkowanie ważna
Nie Nie 3.7 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
PRODSECBUG-3151
CVE-2022-35692
Nieprawidłowa walidacja danych wejściowych (CWE-20)
Eskalacja uprawnień
Krytyczna Tak Nie 8.8 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
PRODSECBUG-3196
CVE-2022-42344

 

Podziękowania

Firma Adobe składa podziękowania następującym badaczom za zgłoszenie tej luki w zabezpieczeniach i współpracę z firmą Adobe w celu ochrony naszych klientów:

  • zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
  • Edgar Boda-Majer (eboda) - CVE-2022-34254, CVE-2022-34257
  • Salman Khan (salmanbabuzai) - CVE-2022-34258
  • Axel Flamcourt (axfla) - CVE-2022-34259, CVE-2022-35692
  • fqdn - CVE-2022-42344

 

Wersje

18 października 2022: dodano problem CVE-2022-42344

22 sierpnia 2022: poprawka oceny priorytetu w tabeli rozwiązań

18 sierpnia 2022: dodano CVE-2022-35692

12 sierpnia 2022: zaktualizowano wartości w sekcjach „Uwierzytelnienie wymagane do wykorzystania” i „Wykorzystanie wymaga uprawnień administratora”.



 


Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.

Adobe

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online