Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępna aktualizacja zabezpieczeń programu Adobe Commerce | APSB22-48

ID biuletynu

Data publikacji

Priorytet

APSB22-48

11 października 2022

3

Podsumowanie

Firma Adobe wydała aktualizację zabezpieczeń programów Adobe Commerce i Magento Open Source. Ta aktualizacja usuwa lukę w zabezpieczeniach o krytycznym  i średnim znaczeniu.  Luki te mogą umożliwić wykonanie dowolnego kodu i ominięcie funkcji zabezpieczeń.

Zagrożone wersje

Produkt Wersja Platforma
 Adobe Commerce
2.4.4-p1 i starsze wersje  
Wszystkie
2.4.5 i starsze wersje  
Wszystkie
2.4.3-p3 i starsze wersje Wszystkie
Magento Open Source 2.4.4-p1 i starsze wersje Wszystkie
2.4.5 i starsze wersje  
Wszystkie
2.4.3-p3 i starsze wersje
Wszystkie

Uwaga: 

  • Problem nie dotyczy wersji 2.4.3-p1 i starszych, jeśli zastosowano wszystkie odpowiednie poprawki bezpieczeństwa

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.

 

 

Produkt Zaktualizowana wersja Platforma Ocena priorytetu Instrukcje instalacji
Adobe Commerce
2.4.5-p1 i 2.4.4-p2 
Wszystkie
3 Uwagi na temat wersji 2.4.x
Magento Open Source 
2.4.5-p1 i 2.4.4-p2 
Wszystkie
3
         
Adobe Commerce
2.4.3-p3_Hotfix
Wszystkie
3 Poprawka ACSD-47578
Magento Open Source 
2.4.3-p3_Hotfix
Wszystkie
3

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Ostrość Uwierzytelnienie wymagane do wykorzystania? Wykorzystanie wymaga uprawnień administratora?
Podstawowy wynik CVSS
Wektor CVSS
ID błędu Magento Numer(y) CVE
Tworzenie skryptów międzywitrynowych (zapisane XSS) (CWE-79)
Wykonanie dowolnego kodu
Krytyczna Nie Nie 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
 PRODSECBUG-3177
CVE-2022-35698
Niewłaściwa kontrola dostępu (CWE-284)
Obejście funkcji bezpieczeństwa
Średnie Tak Nie 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-35689

 

Podziękowania

Firma Adobe składa podziękowania następującym badaczom za zgłoszenie tej luki w zabezpieczeniach i współpracę z firmą Adobe w celu ochrony naszych klientów:

  • Blaklis (blaklis) - CVE-2022-35698

Wersje

12 października 2022: dodano szczegóły problemu dla CVE-2022-35689

18 października 2022: dodano szczegóły dotyczące problemu i poprawek dla wersji 2.4.3.x

 

Wersje

22 sierpnia 2022: poprawka oceny priorytetu w tabeli rozwiązań

18 sierpnia 2022: dodano CVE-2022-35692

12 sierpnia 2022: zaktualizowano wartości w sekcjach „Uwierzytelnienie wymagane do wykorzystania” i „Wykorzystanie wymaga uprawnień administratora”.

 


Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.

Adobe

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?