ID biuletynu
Ostatnia aktualizacja
27 paź 2022
Dostępna aktualizacja zabezpieczeń programu Adobe Commerce | APSB22-38
|
|
Data publikacji |
Priorytet |
|---|---|---|
|
APSB22-38 |
9 sierpnia 2022 |
3 |
Podsumowanie
Firma Adobe wydała aktualizację zabezpieczeń programów Adobe Commerce i Magento Open Source. Ta aktualizacja usuwa krytyczne, istotne i umiarkowanie ważne luki w zabezpieczeniach. Luki te mogą umożliwić wykonanie dowolnego kodu, eskalację uprawnień i ominięcie funkcji zabezpieczeń.
Zagrożone wersje
| Produkt | Wersja | Platforma |
|---|---|---|
| Adobe Commerce | 2.4.3-p2 i starsze wersje |
Wszystkie |
| 2.3.7-p3 i starsze wersje | Wszystkie |
|
| Adobe Commerce |
2.4.4 i starsze wersje |
Wszystkie |
| Magento Open Source |
2.4.3-p2 i starsze wersje |
Wszystkie |
| 2.3.7-p3 i starsze wersje | Wszystkie | |
| Magento Open Source |
2.4.4 i starsze wersje |
Wszystkie |
Rozwiązanie
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.
| Produkt | Zaktualizowana wersja | Platforma | Ocena priorytetu | Instrukcje instalacji |
|---|---|---|---|---|
| Adobe Commerce |
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5 |
Wszystkie |
3 | |
| Magento Open Source |
2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5 |
Wszystkie |
3 |
Informacje o luce w zabezpieczeniach
| Kategoria luki w zabezpieczeniach | Wpływ luki w zabezpieczeniach | Ostrość | Uwierzytelnienie wymagane do wykorzystania? | Wykorzystanie wymaga uprawnień administratora? |
Podstawowy wynik CVSS |
Wektor CVSS |
ID błędu Magento | Numer(y) CVE |
|---|---|---|---|---|---|---|---|---|
| Wstrzykiwanie kodu XML (znale też jako Blind XPath Injection) (CWE-91) |
Wykonanie dowolnego kodu |
Krytyczna | Tak | Tak | 9.1 | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-3095 |
CVE-2022-34253 |
| Niewłaściwe ograniczenie nazwy ścieżki do katalogu z ograniczeniami („przeglądanie ścieżek”) (CWE-22) |
Wykonanie dowolnego kodu |
Krytyczna | Tak | Nie | 8.5 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
PRODSECBUG-3081 |
CVE-2022-34254 |
| Nieprawidłowa walidacja danych wejściowych (CWE-20) |
Eskalacja uprawnień |
Krytyczna | Tak | Nie | 8.3 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
PRODSECBUG-3082 |
CVE-2022-34255 |
| Niewłaściwa autoryzacja (CWE-285) |
Eskalacja uprawnień |
Krytyczna | Nie | Nie | 8.2 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
PRODSECBUG-3093 |
CVE-2022-34256 |
| Tworzenie skryptów międzywitrynowych (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | Nie | Nie | 6.1 | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
PRODSECBUG-3079 |
CVE-2022-34257 |
| Tworzenie skryptów międzywitrynowych (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Umiarkowanie ważna | Tak | Tak | 3.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N |
PRODSECBUG-3080 |
CVE-2022-34258 |
| Niewłaściwa kontrola dostępu (CWE-284) |
Obejście funkcji bezpieczeństwa |
Istotna | Nie | Nie | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
PRODSECBUG-3180 |
CVE-2022-34259 |
| Niewłaściwa autoryzacja (CWE-285) |
Obejście funkcji bezpieczeństwa |
Umiarkowanie ważna |
Nie | Nie | 3.7 | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
PRODSECBUG-3151 |
CVE-2022-35692 |
| Nieprawidłowa walidacja danych wejściowych (CWE-20) |
Eskalacja uprawnień |
Krytyczna | Tak | Nie | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-3196 |
CVE-2022-42344 |
Podziękowania
Firma Adobe składa podziękowania następującym badaczom za zgłoszenie tej luki w zabezpieczeniach i współpracę z firmą Adobe w celu ochrony naszych klientów:
- zb3 (zb3) -- CVE-2022-34253, CVE-2022-34255, CVE-2022-34256
- Edgar Boda-Majer (eboda) - CVE-2022-34254, CVE-2022-34257
- Salman Khan (salmanbabuzai) - CVE-2022-34258
- Axel Flamcourt (axfla) - CVE-2022-34259, CVE-2022-35692
- fqdn - CVE-2022-42344
Wersje
18 października 2022: dodano problem CVE-2022-42344
22 sierpnia 2022: poprawka oceny priorytetu w tabeli rozwiązań
18 sierpnia 2022: dodano CVE-2022-35692
12 sierpnia 2022: zaktualizowano wartości w sekcjach „Uwierzytelnienie wymagane do wykorzystania” i „Wykorzystanie wymaga uprawnień administratora”.
Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.
