Boletim de segurança da Adobe

Atualização de segurança disponível para o Adobe Commerce | APSB22-48

ID do boletim

Data de publicação

Prioridade

APSB22-48

11 de outubro de 2022

3

Resumo

A Adobe lançou atualizações de segurança para o Adobe Commerce e o Magento Open Source. Esta atualização resolve uma vulnerabilidade crítica e média.  A exploração bem-sucedida poderia levar a uma execução de código arbitrária e desvio de recursos de segurança.

Versões afetadas

Produto Versão Plataforma
 Adobe Commerce
2.4.4-p1 e versões anteriores  
Todos
2.4.5 e versões anteriores  
Todos
2.4.3-p3 e versões anteriores Todos
Magento Open Source 2.4.4-p1 e versões anteriores Todos
2.4.5 e versões anteriores  
Todos
2.4.3-p3 e versões anteriores
Todos

Observação: 

  • 2.4.3-p1 e abaixo de 2.4.3-p1 não serão afetados se todos os hotfixes de segurança aplicáveis forem realizados

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.

 

 

Produto Versão atualizada Plataforma Classificação de prioridade Instruções de instalação
Adobe Commerce
2.4.5-p1 e 2.4.4-p2 
Todos
3 Notas de versão 2.4.x
Magento Open Source 
2.4.5-p1 e 2.4.4-p2 
Todos
3
         
Adobe Commerce
2.4.3-p3_Hotfix
Todos
3 Correção ACSD-47578
Magento Open Source 
2.4.3-p3_Hotfix
Todos
3

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Autenticação necessária para explorar? A exploração requer privilégios administrativos?
Pontuação base de CVSS
Vetor CVSS
ID de Bug do Magento Número(s) CVE
Criação de script entre sites (XSS armazenado) (CWE-79)
Execução de código arbitrário
Crítico Não Não 10.0 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
 PRODSECBUG-3177
CVE-2022-35698
Controle de acesso impróprio (CWE-284)
Falha de recurso de segurança
Média Sim Não 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
PRODSECBUG-3180
CVE-2022-35689

 

Agradecimentos

A Adobe gostaria de agradecer aos seguintes pesquisadores por terem relatado esse problema e trabalhado com a Adobe para ajudar a proteger nossos clientes:

  • Blaklis (blaklis) - CVE-2022-35698

Revisões

12 de outubro de 2022: Adicionados detalhes CVE para CVE-2022-35689

18 de outubro de 2022: Adicionados detalhes afetados/corrigidos para 2.4.3.x

 

Revisões

22 de agosto de 2022: Revisão da classificação de prioridade na tabela Solução

18 de agosto de 2022: Acrescentado CVE-2022-35692

12 de agosto de 2022: Valores atualizados em “Authentication required to exploit” e “Exploit requires admin privileges”.

 


Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?